近日，Dell Power Manager(戴尔电源管理)中发现了一个严重的安全漏洞，可能允许攻击者破坏您的系统并执行任意代码。

Dell已发布严重安全警报(DSA-2024-439)，涉及其Power Manager软件中发现的访问控制不当漏洞。此漏洞被标识为CVE-2024-49600，可能允许攻击者执行恶意代码并在受影响的系统上获得提升的权限。该漏洞会影响3.17之前发布的Dell Power Manager版本。

Dell Power Manager是一款广泛用于管理戴尔系统电源设置的软件。此应用程序可延长系统电池寿命并提供可自定义的电池维护设置。它还会提醒用户有关电源适配器、电池、对接和USB Type-C设备不兼容的情况。

该漏洞是由于软件内部访问控制不当而导致的，因此具有本地访问权限的低权限用户可利用该漏洞。攻击者可以绕过安全措施、执行任意代码并获得对敏感系统功能的未经授权的访问。该漏洞的严重性被评为高，CVSS基本评分为7.8。

一旦被利用，可能会给受感染系统带来重大安全风险，危及系统的机密性、完整性和可用性。执行任意代码可能会导致恶意软件安装、数据被盗或系统被感染，而获得更高级别的系统权限将使未经授权的行为者能够执行原本受限制的操作。

戴尔已发布Power Manager更新版本(3.17版)，以解决此漏洞。强烈建议用户立即更新软件以保护其系统，因为目前尚无解决方法。

“戴尔科技强烈建议尽快应用此重要更新。此更新包含关键错误修复和更改，以提高戴尔系统的功能、可靠性和稳定性，”公告中写道。

CHT Security 的TsungShu Chiu发现了此漏洞，并负责任地将其披露给戴尔科技，戴尔科技也对Chiu的努力表示认可和赞赏。

最近，戴尔因种种不实之词登上新闻头条。最近报道了一系列涉及敏感信息泄露的戴尔数据泄露事件。据透露，在2024年9月19日至24日期间，一名名为“grep”的黑客三次入侵戴尔公司(一次与黑客同伴“Chucky”合作)，窃取了与Jira文件、数据库表和架构迁移相关的机密数据，共计3.5 GB未压缩数据、10863名员工的数据以及约500MB敏感数据，包括项目文档和多因素身份验证(MFA)数据。