據(jù)Cyber Security News消息，戴爾（Dell）電腦的系統(tǒng)更新包 （DUP） 框架被發(fā)現(xiàn)一個(gè)嚴(yán)重安全漏洞，可能會(huì)使系統(tǒng)面臨來(lái)自攻擊者的權(quán)限提升和拒絕服務(wù)攻擊。

該漏洞被跟蹤為 CVE-2025-22395，CVSS評(píng)分8.2，影響 22.01.02 之前的 DUP 框架版本，允許具有低權(quán)限的本地攻擊者利用該框架在服務(wù)器上執(zhí)行任意遠(yuǎn)程腳本，從而導(dǎo)致未經(jīng)授權(quán)的系統(tǒng)訪問(wèn)、服務(wù)中斷以及敏感數(shù)據(jù)的潛在泄露。

戴爾已承認(rèn)該問(wèn)題，但尚未披露有關(guān)利用過(guò)程的具體技術(shù)細(xì)節(jié)。安全專家強(qiáng)調(diào)，此漏洞可能會(huì)對(duì)依賴戴爾 BIOS、固件和驅(qū)動(dòng)程序更新更新機(jī)制的企業(yè)組織設(shè)備產(chǎn)生重大影響。

戴爾已發(fā)布 DUP 框架的更新版本 （22.01.02）來(lái)解決此問(wèn)題。強(qiáng)烈建議用戶更新到此版本或更高版本，以降低與 CVE-2025-22395 漏洞相關(guān)的風(fēng)險(xiǎn)。

對(duì)于仍在運(yùn)行受影響版本的系統(tǒng)，戴爾建議避免在 Microsoft Windows 環(huán)境中使用“Extract”選項(xiàng)。

臨時(shí)解決方法

• 暫時(shí)禁用自動(dòng)更新，直到系統(tǒng)得到修補(bǔ)。
• 增強(qiáng)網(wǎng)絡(luò)分段以限制攻擊媒介。
• 監(jiān)控系統(tǒng)中可能存在可能表明漏洞利用企圖的可疑活動(dòng)。

Dell Update Package Framework 在戴爾生態(tài)系統(tǒng)中廣泛使用，以簡(jiǎn)化 BIOS、固件和設(shè)備驅(qū)動(dòng)程序的更新。因此，如果不進(jìn)行修補(bǔ)，該漏洞可能會(huì)影響廣泛的 Dell 系統(tǒng)。

使用戴爾系統(tǒng)的企業(yè)組織應(yīng)從 官方支持頁(yè)面下載最新的 DUP 框架，以立即優(yōu)先修補(bǔ)其環(huán)境。此外，還建議安全團(tuán)隊(duì)實(shí)施強(qiáng)大的監(jiān)控工具，并遵循戴爾關(guān)于安全處理更新包的指導(dǎo)。

戴爾已將報(bào)告此問(wèn)題歸功于 Gee-metrics，并繼續(xù)與其客戶密切合作以確保系統(tǒng)安全。

隨著網(wǎng)絡(luò)威脅的發(fā)展，及時(shí)采取行動(dòng)對(duì)于緩解 CVE-2025-22395 等漏洞至關(guān)重要。組織必須通過(guò)維護(hù)最新的軟件和遵守推薦的安全實(shí)踐來(lái)保持警惕。