CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2023-44283
https://notcve.org/view.php?id=CVE-2023-44283
In Dell SupportAssist for Home PCs (between v3.0 and v3.14.1) and SupportAssist for Business PCs (between v3.0 and v3.4.1), a security concern has been identified, impacting locally authenticated users on their respective PCs. This issue may potentially enable privilege escalation and the execution of arbitrary code, in the Windows system context, and confined to that specific local PC. En Dell SupportAssist para PC domésticas (entre v3.0 y v3.14.1) y SupportAssist para PC empresariales (entre v3.0 y v3.4.1), se identificó un problema de seguridad que afecta a los usuarios autenticados localmente en sus respectivas PC. Este problema puede permitir potencialmente la escalada de privilegios y la ejecución de código arbitrario, en el contexto del sistema Windows y limitado a esa PC local específica. • https://www.dell.com/support/kbdoc/en-us/000219086/dsa-2023-401-security-update-for-dell-supportassist-for-home-pcs-and-dell-supportassist-for-business-pcs-user-interface-component • CWE-284: Improper Access Control •
CVSS: 6.3EPSS: 0%CPEs: 1EXPL: 0CVE-2023-39249
https://notcve.org/view.php?id=CVE-2023-39249
Dell SupportAssist for Business PCs version 3.4.0 contains a local Authentication Bypass vulnerability that allows locally authenticated non-admin users to gain temporary privilege within the SupportAssist User Interface on their respective PC. The Run as Admin temporary privilege feature enables IT/System Administrators to perform driver scans and Dell-recommended driver installations without requiring them to log out of the local non-admin user session. However, the granted privilege is limited solely to the SupportAssist User Interface and automatically expires after 15 minutes. Dell SupportAssist para PC empresariales versión 3.4.0 contiene una vulnerabilidad de omisión de autenticación local que permite a los usuarios no administradores autenticados localmente obtener privilegios temporales dentro de la interfaz de usuario de SupportAssist en sus respectivas PC. La función de privilegio temporal Ejecutar como administrador permite a los administradores de sistemas/TI realizar análisis de controladores e instalaciones de controladores recomendadas por Dell sin necesidad de cerrar sesión en la sesión de usuario local que no es administrador. • https://www.dell.com/support/kbdoc/en-us/000216574/security-update-for-dell-supportassist-for-business-pcs-vulnerability • CWE-280: Improper Handling of Insufficient Permissions or Privileges •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 0CVE-2023-25535
https://notcve.org/view.php?id=CVE-2023-25535
Dell SupportAssist for Home PCs Installer Executable file version prior to 3.13.2.19 used for initial installation has a high vulnerability that can result in local privilege escalation (LPE). This vulnerability only affects first-time installations done prior to 8th March 2023 La versión del archivo ejecutable del instalador de Dell SupportAssist para PC domésticas anterior a 3.13.2.19 utilizado para la instalación inicial tiene una alta vulnerabilidad que puede resultar en una escalada de privilegios local (LPE). Esta vulnerabilidad solo afecta a las instalaciones realizadas por primera vez antes del 8 de marzo de 2023. • https://www.dell.com/support/kbdoc/en-us/000211410/dell-supportassist-for-home-pcs-security-update-for-installer-executable-file-for-local-privilege-escalation-lpe-vulnerability • CWE-269: Improper Privilege Management •
CVSS: 4.4EPSS: 0%CPEs: 1EXPL: 0CVE-2024-22455
https://notcve.org/view.php?id=CVE-2024-22455
Dell E-Lab Navigator, [3.1.9, 3.2.0], contains an Insecure Direct Object Reference Vulnerability in Feedback submission. An attacker could potentially exploit this vulnerability, to manipulate the email's appearance, potentially deceiving recipients and causing reputational and security risks. Dell E-Lab Navigator, [3.1.9, 3.2.0], contiene una vulnerabilidad de referencia directa a objetos inseguros en el envío de comentarios. Un atacante podría explotar esta vulnerabilidad para manipular la apariencia del correo electrónico, engañando potencialmente a los destinatarios y provocando riesgos para la reputación y la seguridad. Dell Mobility - E-Lab Navigator, version(s) 3.1.9, 3.2.0, contain(s) an Authorization Bypass Through User-Controlled Key vulnerability. • https://www.dell.com/support/kbdoc/en-us/000222015/dsa-2024-073-security-update-for-mobility-e-lab-navigator-vulnerabilities • CWE-451: User Interface (UI) Misrepresentation of Critical Information CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 0CVE-2024-22445
https://notcve.org/view.php?id=CVE-2024-22445
Dell PowerProtect Data Manager, version 19.15 and prior versions, contain an OS command injection vulnerability. A remote high privileged attacker could potentially exploit this vulnerability, leading to the execution of arbitrary OS commands on the application's underlying OS, with the privileges of the vulnerable application. Exploitation may lead to a system take over by an attacker. Dell PowerProtect Data Manager, versión 19.15 y versiones anteriores, contienen una vulnerabilidad de inyección de comandos del sistema operativo. Un atacante remoto con privilegios elevados podría explotar esta vulnerabilidad, lo que llevaría a la ejecución de comandos arbitrarios del sistema operativo en el sistema operativo subyacente de la aplicación, con los privilegios de la aplicación vulnerable. • https://www.dell.com/support/kbdoc/en-us/000222025/dsa-2024-061-dell-power-protect-data-manager-update-for-multiple-security-vulnerabilities • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •