Xclarity Administrator
Уязвимости
27
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.0389
Распределение по критичности
Критический
1
Высокий
12
Средний
14
Низкий
0
Затронутые диапазоны версий
2.0.0–2.4.0< 1.4.0< 2.1.0< 2.5.0< 2.6.6< 3.1.0< 4.0.0< 4.1.0≤ 1.1.1≤ 1.2.1≤ 1.2.2≤ 1.3.1
Также сопоставлено как (исходные строки): xclarity_administrator,bm_nextscale_fan_power_controller,cmm,fan_power_controller,xclarity_integrator,imm1,imm2
Топ уязвимостей
CVE-2016-8233Файлы журналов, создаваемые Lenovo XClarity Administrator (LXCA) версий, предшествующих 1.2.2, могут содержать учетные данные пользователя в незащищенной форме открытого текста, которые может просматривать непривилегированный пользователь.
CVE-2018-9066В Lenovo xClarity Administrator версий ранее 2.1.0 аутентифицированный пользователь LXCA может при определенных обстоятельствах внедрять дополнительные параметры в определенный вызов веб-API, что может привести к выполнению привилегированных команд в базовой операционной системе LXCA.
CVE-2018-9064В Lenovo xClarity Administrator версий ранее 2.1.0 аутентифицированный пользователь LXCA может злоупотреблять вызовом веб-API для отладки, чтобы получить учетные данные для пользователя System Manager.
CVE-2017-3770Уязвимость повышения привилегий в LXCA версий ранее 1.3.2, при которой аутентифицированный пользователь может злоупотребить определенными функциями веб-интерфейса для выполнения привилегированных команд в базовой операционной системе LXCA.
CVE-2023-34418Действительный аутентифицированный пользователь LXCA может получить несанкционированный доступ к событиям и другим данным, хранящимся в LXCA, из-за уязвимости SQL-инъекции в определенном веб-API.
CVE-2017-3745В Lenovo XClarity Administrator (LXCA) до версии 1.3.0, если сервисные данные загружаются из LXCA, неадминистративный пользователь может получить доступ к информации о паролях пользователей, которые ранее проходили аутентификацию на внутреннем LDAP-сервере LXCA, включая учетные записи администраторов и сервисные учетные записи с административными привилегиями. Эта проблема касается только тех пользователей, которые использовали локальную аутентификацию с LXCA, а не удаленную аутентификацию через внешние LDAP- или ADFS-серверы.
CVE-2023-3113В сервере Common Information Model (CIM) LXCA существует не прошедшая проверку подлинности уязвимость внедрения внешних XML-сущностей (XXE), которая может привести к доступу только для чтения к определенным файлам.
CVE-2019-6193Об уязвимости раскрытия информации сообщалось в Lenovo XClarity Administrator (LXCA) версий до 2.6.6, что могло позволить неаутентифицированный доступ к некоторым файлам конфигурации, которые могут содержать имена пользователей, лицензионные ключи, IP-адреса и зашифрованные хэши паролей.
CVE-2019-6179Об уязвимости обработки XML External Entity (XXE) сообщалось в Lenovo XClarity Administrator (LXCA) до версии 2.5.0, Lenovo XClarity Integrator (LXCI) для Microsoft System Center до версии 7.7.0 и Lenovo XClarity Integrator (LXCI) для VMWare vCenter до версии 6.1.0, что могло привести к раскрытию информации.
CVE-2018-9065В Lenovo xClarity Administrator версий ранее 2.1.0 злоумышленник, получивший доступ к базовому пользователю файловой системы LXCA, может получить хранилище учетных данных, содержащее имена пользователей и пароли служебного процессора для серверов, ранее управляемых этим экземпляром LXCA, и потенциально расшифровать эти учетные данные легче, чем предполагалось.
CVE-2017-17833В выпусках OpenSLP в кодовых потоках 1.0.2 и 1.1.0 есть проблема повреждения памяти, связанная с кучей, которая может проявиться как отказ в обслуживании или уязвимость удаленного выполнения кода.
CVE-2023-34420Действительный аутентифицированный пользователь LXCA с повышенными привилегиями может выполнить внедрение команд через специально созданные вызовы определенного веб-API.
CVE-2016-8221Повышение привилегий в Lenovo XClarity Administrator ранее 1.2.0, если LXCA используется для управления стоечными коммутаторами или корпусами со встроенными модулями ввода/вывода (IOM), определенные файлы журналов, просматриваемые аутентифицированными пользователями, могут содержать пароли для внутренних административных учетных записей LXCA со временными паролями, которые используются внутри кода LXCA.
CVE-2017-3763Злоумышленник, получивший доступ к месту хранения файловой системы LXCA, может получить доступ к учетным данным локальных учетных записей LXCA в версиях LXCA ранее 1.3.2.
CVE-2024-45104Действительный, аутентифицированный пользователь LXCA без достаточных привилегий может быть в состоянии использовать идентификатор устройства для изменения устройства, управляемого LXCA, через специально созданный вызов веб-API.
CVE-2023-34422Действительный аутентифицированный пользователь LXCA с повышенными привилегиями может удалить папки в файловой системе LXCA через специально созданный вызов веб-API из-за недостаточной проверки ввода.
CVE-2023-34421Действительный аутентифицированный пользователь LXCA с повышенными привилегиями может заменить данные файловой системы через специально созданный вызов веб-API из-за недостаточной проверки ввода.
CVE-2019-6181Об уязвимости отраженного межсайтового скриптинга (XSS) сообщалось в Lenovo XClarity Administrator (LXCA) версий до 2.5.0, что могло позволить специально созданным URL-адресам, при посещении, вызывать выполнение кода JavaScript в веб-браузере пользователя. Код JavaScript не выполняется в самой LXCA.
CVE-2019-19756В ходе внутреннего аудита безопасности продукта Lenovo XClarity Administrator (LXCA) были обнаружены учетные данные ОС Windows, используемые для выполнения обновлений драйверов управляемых систем, записанные в файл журнала в виде открытого текста. Это относится только к LXCA версии 2.6.0 при выполнении обновления драйвера Windows. Затронутые журналы доступны только авторизованным пользователям в журнале службы First Failure Data Capture (FFDC) и файлах журналов на LXCA.
CVE-2019-6158Внутренний аудит безопасности продукта Lenovo XClarity Administrator (LXCA) обнаружил учетные данные HTTP-прокси, записываемые в файл журнала в виде открытого текста. Это затрагивает только LXCA, когда настроены учетные данные HTTP-прокси. Это затрагивает версии LXCA с 2.0.0 по 2.3.x.
CVE-2019-6194Об уязвимости обработки XML External Entity (XXE) сообщалось в Lenovo XClarity Administrator (LXCA) версий до 2.6.6, что могло привести к раскрытию информации.
CVE-2019-19757В ходе внутреннего аудита безопасности продукта Lenovo XClarity Administrator (LXCA) была обнаружена уязвимость межсайтового скриптинга на основе Document Object Model (DOM) в версиях до 2.6.6, которая могла позволить выполнять код JavaScript в веб-браузере пользователя при посещении специально созданной ссылки. Код JavaScript выполняется в системе пользователя, а не в самом LXCA.
CVE-2017-3764В Lenovo XClarity Administrator (LXCA) до версии 1.4.0 была выявлена уязвимость, при которой имена учетных записей пользователей LXCA могут быть доступны не прошедшим проверку подлинности пользователям, имеющим доступ к веб-интерфейсу LXCA. Информация о паролях учетных записей пользователей не раскрывается.
CVE-2020-8355Внутренний аудит безопасности продукта Lenovo XClarity Administrator (LXCA) до версии 3.1.0 обнаружил, что учетные данные ОС Windows, предоставленные пользователем LXCA для выполнения обновлений драйверов управляемых систем, могут быть захвачены в журнале службы First Failure Data Capture (FFDC), если журнал службы создается во время обновления управляемых конечных точек. Журнал службы создается только по запросу привилегированного пользователя LXCA и доступен только привилегированному пользователю LXCA, который запросил файл, а затем удаляется.
CVE-2019-6182Об уязвимости внедрения CSV с хранением данных сообщалось в Lenovo XClarity Administrator (LXCA) версий до 2.5.0, что могло позволить пользователю с правами администратора сохранять поврежденные данные в данных LXCA Jobs и Event Log, что могло привести к сохранению специально созданных формул в экспортируемом CSV-файле. Созданная формула не выполняется в самой LXCA.