Se han descubierto múltiples vulnerabilidades en Dell ControlVault3 y ControlVault3 Plus. Un actor malicioso podría lograr la liberación arbitraria, ejecución arbitraria de código o escritura fuera de límites.
Productos afectados
- Productos que utilicen Dell ControlVault3 Plus, versiones anteriores a 6.2.26.36.
- Productos que utilicen Dell ControlVault3, versiones anteriores a 5.15.10.14.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-25215: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de liberación arbitraria en la funcionalidad cv_close. Una llamada API especialmente diseñada a ControlVault podría llevar a una liberación arbitraria. Un actor malicioso podría forjar una sesión falsa para activar esta vulnerabilidad.
CVE-2025-24922: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de búfer basado en pila en la funcionalidad securebio_identify. Un objeto cv_object malicioso especialmente diseñado podría llevar a una ejecución arbitraria de código. Un actor malicioso podría hacer una llamada API para activar esta vulnerabilidad.
CVE-2025-25050: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de escritura fuera de límites en la funcionalidad cv_upgrade_sensor_firmware. Una llamada API especialmente diseñada a ControlVault podría llevar a una escritura fuera de límites. Un actor malicioso podría hacer una llamada API para activar esta vulnerabilidad.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-25215
- https://nvd.nist.gov/vuln/detail/CVE-2025-24922
- https://nvd.nist.gov/vuln/detail/CVE-2025-25050
- https://www.dell.com/support/kbdoc/en-us/000276106/dsa-2025-053