发布日期：2020-07-09
更新日期：2020-08-25

受影响系统：

Dell EMC iDRAC9 < 4.20.20.20

描述：

---

CVE(CAN) ID: CVE-2020-5366

Dell EMC iDRAC9是美国戴尔（Dell）公司的一套包含硬件和软件的系统管理解决方案。该方案为Dell PowerEdge系统提供远程管理、崩溃系统恢复和电源控制等功能。
Dell EMC iDRAC9 4.20.20.20之前版本存在本地文件包含漏洞。该漏洞源于程序将路径名不当地限制到受限制的目录（路径遍历）。经过身份认证的的远程攻击者可借助特制参数利用该漏洞读取任意未授权文件。

<*来源：Georgy Kiguradze, Mark Ermolov （ Positive Technologies）
  
  链接：*>

建议：

---

厂商补丁：

Dell
----
Dell已经为此发布了一个安全公告（DSA-2020-128）以及相应补丁:
DSA-2020-128：DSA-2020-128: iDRAC Local File Inclusion Vulnerability
链接：https://www.dell.com/support/article/zh-cn/sln322125/dsa-2020-128-idrac-local-file-inclusion-vulnerability?lang=en

浏览次数：1030
严重程度：0（网友投票）