Critical Dell Data Lakehouse Flaw Allows Remote Attackers to Escalate Privileges
2025/11/13 gbhackers — Dell Technologies が公開したのは、Data Lakehouse プラットフォームに影響を与える深刻なセキュリティ脆弱性である。この脆弱性を悪用する高権限を持つ攻撃者は、アクセス権限を昇格してシステムの整合性を侵害する可能性を得る。この脆弱性 CVE-2025-46608 の CVSS スコアは 9.1 であり、影響を受ける環境に対するリスクが極めて高いことを示している。
脆弱性の詳細
この Dell Data Lakehouse の脆弱性は不適切なアクセス制御の問題に起因し、影響を及ぼす範囲はバージョン 1.6.0.0 未満となる。
Dell のアドバイザリによると、高権限を持つ攻撃者がリモート・ネットワークにアクセスすると、影響を受けるシステム上で昇格された権限を取得する可能性があるという。この攻撃は、ユーザーの操作を必要とせず、ネットワーク経由で実行されるため、極めて危険な脅威ベクターとなっている。
| CVE ID | Product | Affected Versions | Remediated Versions | CVSS Base Score |
|---|---|---|---|---|
| CVE-2025-46608 | Dell Data Lakehouse | Versions prior to 1.6.0.0 | Version 1.6.0.0 or later | 9.1 |
この脆弱性に対する Dell の評価は Critical である。したがって悪用が生じると、昇格された権限による不正アクセスにつながり、システムの整合性が根本的に損なわれ、顧客データの窃取/改竄にいたる可能性がある。
CVSS ベクター文字列 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H) が示すのは、この脆弱性の悪用の前提として、高レベルの権限が必要であることだ。その一方で、いったん侵害されると、システム全体/接続リソースの機密性/整合性/可用性に大きな影響が生じる可能性がある。
Dell Data Lakehouse バージョン 1.6.0.0 未満を実行している組織は、直ちに危険にさらされる。Dell が発行したセキュリティアドバイザリ DSA-2025-375 には、影響を受ける環境の範囲と緩和策が示されている。
ユーザーに推奨されるのは、Dell Data Lakehouse バージョン 1.6.0.0 以降へと、速やかにアップグレードすることだ。アップグレード・プロセスに関する、技術サポートまたは説明が必要な組織に推奨されるのは、アドバイザリ DSA-2025-375 を参照した上で、Dell のテクニカル・サポートに直接連絡することだ。
セキュリティ・チームにとって必要なことは、Dell Data Lakehouse の導入環境を直ちに監査し、影響を受けるインスタンスを特定し、パッチ適用による事業継続への影響を評価し、緊急性と安定性のバランスを考慮した上で、導入スケジュールを策定することだ。
さらに、高権限を持つアカウントが関与する、不審なアクティビティの監視も必要となる。悪用の試行を示す兆候が見つかる可能性がある。パッチ適用が完了するまで、管理者アカウントの監視とアクセス制御の強化を検討すべきである。
Dell の迅速な情報開示と明確な修復パスにより、セキュリティ・チームが的確な対応を行うために必要な情報が提供されている。ユーザー組織は、この深刻なセキュリティ・リスクをインフラから排除するために、バージョン 1.6.0.0 へのアップグレードを最優先事項として取り組む必要がある。
この脆弱性を悪用する高権限のユーザーは、Dell Data Lakehouse の不適切なアクセス制御を介して、さらに権限を昇格できてしまう設計になっています。もともと、高権限を持つアカウントから、ネットワーク経由でユーザー操作なしに攻撃できるため、いったん侵害されるとデータ改竄/窃取に直結しやすいとされます。ご利用のチームは、ご注意ください。よろしければ、Dell で検索を、お試しください。
IoT OT Security News 
You must be logged in to post a comment.