プラットフォーム
other
コンポーネント
cloudlink
修正版
8.1.1
Dell CloudLinkのバージョン8.1.1以前には、CLIエスケープ脆弱性が存在します。この脆弱性を悪用されると、攻撃者は特権ユーザーのパスワードを知っている場合に、システムを完全に制御できるようになる可能性があります。影響を受けるバージョンは8.1.1以前です。Dellはバージョン8.1.1で修正を提供しています。
この脆弱性は、攻撃者がDell CloudLinkシステムへの完全なアクセス権を取得することを可能にします。攻撃者は、機密情報の窃取、システムの改ざん、さらにはネットワークへの不正アクセスといった行為を実行できる可能性があります。特に、CloudLinkが重要なインフラストラクチャの一部として使用されている場合、その影響は甚大になる可能性があります。この脆弱性は、特権ユーザーのパスワードが漏洩している場合にのみ悪用可能ですが、パスワードが漏洩した場合、攻撃者はシステムを完全に制御できます。
この脆弱性は、CISAのKEVカタログに追加される可能性があり、その場合、攻撃の可能性は高いと評価される可能性があります。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、特権アカウントのパスワードが漏洩している環境では、攻撃のリスクが高まります。Dellは2025年11月5日にこの脆弱性を公開しました。
Organizations utilizing Dell CloudLink for device management and automation are at risk, particularly those with legacy configurations or weak password policies. Shared hosting environments where multiple users have privileged access to CloudLink instances are also at increased risk. Any deployment relying on default or easily guessable passwords for privileged CloudLink accounts is vulnerable.
disclosure
エクスプロイト状況
EPSS
0.07% (22% パーセンタイル)
CISA SSVC
CVSS ベクトル
Dellはバージョン8.1.1でこの脆弱性を修正するパッチをリリースしています。まずは、CloudLinkシステムを8.1.1にアップデートすることを強く推奨します。アップデートがシステムに影響を与える可能性がある場合は、ロールバック計画を事前に準備しておく必要があります。一時的な緩和策として、特権アカウントのパスワードポリシーを強化し、不要な特権アクセスを制限することを検討してください。また、CloudLinkのログを監視し、不審なアクティビティを検出するためのルールを設定することも有効です。
Dell CloudLinkを8.1.1以降のバージョンにアップデートしてください。このアップデートは、特権ユーザーがシステムを制御することを可能にするCLI Escape Vulnerabilityを修正します。詳細とアップデート手順については、Dellのセキュリティアドバイザリを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-46364は、Dell CloudLink 8.1.1以前のバージョンに存在する脆弱性で、特権ユーザーがパスワードを知っている場合にシステムを制御できるCLIエスケープを可能にします。
はい、Dell CloudLinkのバージョンが8.1.1以前の場合は、この脆弱性の影響を受けます。
Dell CloudLinkをバージョン8.1.1にアップデートしてください。アップデート前に、システムのバックアップを作成し、ロールバック計画を準備することを推奨します。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、攻撃のリスクは存在します。
Dellのサポートサイトで、CVE-2025-46364に関する公式アドバイザリをご確認ください。