Dell BIOS 信任管理问题漏洞

CVE编号

CVE-2021-21522

利用情况

暂无

补丁情况

N/A

披露时间

2021-09-29

漏洞描述

DELL Dell BIOSConnect是美国戴尔（DELL）公司的一个基础平台，使 BIOS 可连接到 Dell 的 HTTP 后端，并通过 HTTP 方法加载映像。 Dell BIOS 存在信任管理问题漏洞，本地管理员可以通过管理界面在系统上设置 BIOS 管理员密码，从而访问硬盘存储上的敏感信息。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://www.dell.com/support/kbdoc/zh-cn/printview/000191495/10/en

参考链接
https://www.dell.com/support/kbdoc/000191495

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	dell	latitude_5285_2-in-1_firmware	*		Up to (excluding) 1.13.0
	运行在以下环境
	系统	dell	latitude_5289_2-in-1_firmware	*		Up to (excluding) 1.23.1
	运行在以下环境
	系统	dell	latitude_5290_2-in-1_firmware	*		Up to (excluding) 1.16.0
	运行在以下环境
	系统	dell	latitude_5310_2-in-1_firmware	1.7.0	-
	运行在以下环境
	系统	dell	latitude_7210_2-in-1_firmware	*		Up to (excluding) 1.7.0
	运行在以下环境
	系统	dell	latitude_7212_rugged_extreme_tablet_firmware	*		Up to (excluding) 1.33.0
	运行在以下环境
	系统	dell	latitude_7212_rugged_extreme_tablet_firmware	1.33.0	-
	运行在以下环境
	系统	dell	latitude_7280_firmware	*		Up to (excluding) 1.21.1
	运行在以下环境
	系统	dell	latitude_7280_firmware	1.21.1	-
	运行在以下环境
	系统	dell	latitude_7285_firmware	*		Up to (excluding) 1.11.0
	运行在以下环境
	系统	dell	latitude_7285_firmware	1.11.0	-
	运行在以下环境
	系统	dell	latitude_7290_firmware	*		Up to (excluding) 1.20.0
	运行在以下环境
	系统	dell	latitude_7290_firmware	1.20.0	-
	运行在以下环境
	系统	dell	latitude_7310_firmware	*		Up to (excluding) 1.7.0
	运行在以下环境
	系统	dell	latitude_7370_firmware	*		Up to (excluding) 1.24.3
	运行在以下环境
	系统	dell	latitude_7370_firmware	1.24.3	-
	运行在以下环境
	系统	dell	latitude_7380_firmware	1.21.1	-
	运行在以下环境
	系统	dell	latitude_7389_firmware	*		Up to (excluding) 1.23.1
	运行在以下环境
	系统	dell	latitude_7390_2-in-1_firmware	*		Up to (excluding) 1.19.0
	运行在以下环境
	系统	dell	latitude_7390_firmware	1.20.0	-
	运行在以下环境
	系统	dell	latitude_7410_firmware	*		Up to (excluding) 1.7.0
	运行在以下环境
	系统	dell	latitude_7420_firmware	*		Up to (excluding) 1.7.1
	运行在以下环境
	系统	dell	latitude_7480_firmware	*		Up to (excluding) 1.21.1
	运行在以下环境
	系统	dell	latitude_7490_firmware	*		Up to (excluding) 1.20.1
	运行在以下环境
	系统	dell	latitude_9410_firmware	*		Up to (excluding) 1.7.0
	运行在以下环境
	系统	dell	latitude_9510_firmware	*		Up to (excluding) 1.6.0
	运行在以下环境
	系统	dell	precision_3640_tower_firmware	*		Up to (excluding) 1.6.2
	运行在以下环境
	系统	dell	precision_5510_firmware	*		Up to (excluding) 1.17.0
	运行在以下环境
	系统	dell	precision_5520_firmware	*		Up to (excluding) 1.23.1
	运行在以下环境
	系统	dell	precision_5530_2-in-1_firmware	*		Up to (excluding) 1.14.10
	运行在以下环境
	系统	dell	xps_13_9360_firmware	*		Up to (excluding) 2.16.0
	运行在以下环境
系统	dell	xps_13_9370_firmware	*		Up to (excluding) 1.15.0
运行在以下环境
系统	dell	xps_15_9575_2-in-1_firmware	*		Up to (excluding) 1.16.2
运行在以下环境
硬件	dell	latitude_5285_2-in-1	*	-
运行在以下环境
硬件	dell	latitude_5289_2-in-1	*	-
运行在以下环境
硬件	dell	latitude_5290_2-in-1	*	-
运行在以下环境
硬件	dell	latitude_5310_2-in-1	*	-
运行在以下环境
硬件	dell	latitude_7210_2-in-1	-	-
运行在以下环境
硬件	dell	latitude_7212_rugged_extreme_tablet	-	-
运行在以下环境
硬件	dell	latitude_7280	-	-
运行在以下环境
硬件	dell	latitude_7285	-	-
运行在以下环境
硬件	dell	latitude_7290	-	-
运行在以下环境
硬件	dell	latitude_7310	-	-
运行在以下环境
硬件	dell	latitude_7370	-	-
运行在以下环境
硬件	dell	latitude_7380	-	-
运行在以下环境
硬件	dell	latitude_7389	-	-
运行在以下环境
硬件	dell	latitude_7390	-	-
运行在以下环境
硬件	dell	latitude_7390_2-in-1	-	-
运行在以下环境
硬件	dell	latitude_7410	-	-
运行在以下环境
硬件	dell	latitude_7420	-	-
运行在以下环境
硬件	dell	latitude_7480	-	-
运行在以下环境
硬件	dell	latitude_7490	-	-
运行在以下环境
硬件	dell	latitude_9410	-	-
运行在以下环境
硬件	dell	latitude_9510	-	-
运行在以下环境
硬件	dell	precision_3640_tower	-	-
运行在以下环境
硬件	dell	precision_5510	-	-
运行在以下环境
硬件	dell	precision_5520	-	-
运行在以下环境
硬件	dell	precision_5530_2-in-1	-	-
运行在以下环境
硬件	dell	xps_13_9360	-	-
运行在以下环境
硬件	dell	xps_13_9370	-	-
运行在以下环境
硬件	dell	xps_15_9575_2-in-1	-	-

CVSS3评分 4.4

• 攻击路径 本地
• 攻击复杂度 低
• 权限要求 高
• 影响范围 未更改
• 用户交互 无
• 可用性 无
• 保密性 高
• 完整性 无

CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

CWE-ID	漏洞类型
CWE-522	不充分的凭证保护机制
NVD-CWE-noinfo

Exp相关链接

- avd.aliyun.com