nvd
Lenovo
Уязвимости
403
Эксплуатируемые
1
Критический
18
Высокий
179
Топ продуктов
Thinkcentre M625q28Thinkcentre M625q Firmware28Ideacentre 5-14iob627Ideacentre 5-14iob6 Firmware27Ideacentre G5-14imb0527Ideacentre G5-14imb05 Firmware27Ideacentre Gaming 5-14iob627Ideacentre Gaming 5-14iob6 Firmware27Thinkcentre M75n27Thinkcentre M75n Firmware27V50t-13imb27V50t-13imb Firmware27Xclarity Administrator27Ideacentre 3-07imb0526Ideacentre 3-07imb05 Firmware26Ideacentre C5-14imb0526Ideacentre C5-14imb05 Firmware26Ideacentre Creator 5-14iob626Ideacentre Creator 5-14iob6 Firmware26Thinkcentre M75s Gen 226
Топ уязвимостей
CVE-2007-1307Неуказанная уязвимость в Lenovo Intel PRO/1000 LAN adapter до Build 135400, используемом в системах IBM Lenovo ThinkPad, имеет неизвестное воздействие и векторы атак.
CVE-2021-3897Уязвимость обхода аутентификации была обнаружена во внутреннем сервисе Lenovo Fan Power Controller2 (FPC2) и прошивке Lenovo System Management Module (SMM) во время, которая могла позволить неаутентифицированному злоумышленнику выполнять команды на SMM и FPC2. SMM2 не подвержен этой уязвимости.
CVE-2021-3849В веб-интерфейсе Lenovo Fan Power Controller2 (FPC2) и прошивке Lenovo System Management Module (SMM) обнаружена уязвимость обхода аутентификации, которая может позволить не прошедшему проверку подлинности злоумышленнику выполнять команды на SMM и FPC2. SMM2 не подвержен этой уязвимости.
CVE-2021-3616Сообщалось об уязвимости в Lenovo Smart Camera X3, X5 и C2E, которая может позволить неавторизованному пользователю просматривать информацию об устройстве, изменять содержимое прошивки и конфигурацию устройства. Эта уязвимость такая же, как CNVD-2020-68651.
CVE-2020-8349В ходе внутренней проверки безопасности была выявлена уязвимость несанкционированного удаленного выполнения кода в дополнительном интерфейсе управления REST API Cloud Networking Operating System (CNOS). Этот интерфейс отключен по умолчанию и не уязвим, если не включен. Когда он включен, он уязвим только там, где прикреплен к VRF и разрешен определенными ACL. Lenovo настоятельно рекомендует обновиться до неуязвимой версии CNOS. Если это невозможно, Lenovo рекомендует отключить интерфейс управления REST API или ограничить доступ к VRF управления и еще больше ограничить доступ к авторизованным станциям управления через ACL.
CVE-2019-6188Механизм обнаружения несанкционированного доступа к BIOS не был запущен в Lenovo ThinkPad T460p, версии BIOS до R07ET90W, и T470p, версии BIOS до R0FET50W, что может позволить несанкционированный доступ.
CVE-2019-6177Уязвимость, обнаруженная в Lenovo Solution Center версии 03.12.003, которая больше не поддерживается, может позволить записывать файлы журналов в нестандартные расположения, что потенциально может привести к повышению привилегий. Lenovo прекратила поддержку Lenovo Solution Center и рекомендовала клиентам перейти на Lenovo Vantage или Lenovo Diagnostics в апреле 2018 года.
CVE-2019-6168Сообщалось об уязвимости в Lenovo Service Bridge до версии 4.1.0.1, которая могла позволить удаленное выполнение кода.
CVE-2019-6167Сообщалось об уязвимости в Lenovo Service Bridge до версии 4.1.0.1, которая могла позволить удаленное выполнение кода.
CVE-2018-9079Для некоторых устройств Iomega, Lenovo, LenovoEMC NAS версий 4.1.402.34662 и более ранних злоумышленники могут создавать URL-адреса для изменения объектной модели документа (DOM) страницы. Кроме того, злоумышленники могут внедрять HTML-теги скриптов и HTML-теги с обработчиками JavaScript для выполнения произвольного JavaScript с источником устройства.
CVE-2018-14066Поставщик контента content://wappush в com.android.provider.telephony, обнаруженный в некоторых пользовательских ПЗУ для телефонов Android, допускает SQL-инъекции. Одним из последствий является то, что приложение без разрешения READ_SMS может читать SMS-сообщения. Это затрагивает телефоны Infinix X571, а также различные телефоны Lenovo (например, A7020), которые с тех пор были исправлены компанией Lenovo.
CVE-2017-5638Парсер Jakarta Multipart в Apache Struts 2 2.3.x до 2.3.32 и 2.5.x до 2.5.10.1 имеет неверную обработку исключений и генерацию сообщений об ошибках во время попыток загрузки файла, что позволяет удаленным злоумышленникам выполнять произвольные команды через специально подготовленный заголовок HTTP Content-Type, Content-Disposition или Content-Length, как было эксплуатировано в дикой природе в марте 2017 года с заголовком Content-Type, содержащим строку #cmd=.
CVE-2017-3774В службе веб-администрирования в Integrated Management Module 2 (IMM2) версий ранее 4.70, используемых в некоторых серверах Lenovo, и версий ранее 6.60, используемых в некоторых серверах IBM, была обнаружена уязвимость переполнения стека. Злоумышленник, предоставивший скомпрометированную комбинацию идентификатора пользователя и пароля, может вызвать переполнение стека в части процедуры аутентификации, что приведет к повреждению стека.
CVE-2017-3761Приложение Lenovo Service Framework для Android выполняет некоторые системные команды без надлежащей очистки внешних входных данных. В некоторых случаях это может привести к внедрению команд, что, в свою очередь, может привести к удаленному выполнению кода.
CVE-2017-3758Неправильные элементы управления доступом к нескольким компонентам Android в приложении Lenovo Service Framework могут быть использованы для обеспечения удаленного выполнения кода.
CVE-2016-8233Файлы журналов, создаваемые Lenovo XClarity Administrator (LXCA) версий, предшествующих 1.2.2, могут содержать учетные данные пользователя в незащищенной форме открытого текста, которые может просматривать непривилегированный пользователь.
CVE-2015-5684MITRE заполняет этот идентификатор, поскольку он был присвоен до того, как Lenovo стала CNA. Сообщалось об уязвимости переполнения буфера (исправлена и публично раскрыта в 2015 г.) в Lenovo Service Engine (LSE), затрагивающей различные версии BIOS для ноутбуков Lenovo, что может позволить удаленному пользователю выполнить произвольный код в системе.
CVE-2013-1361Уязвимость ненадежного пути поиска в Lenovo Thinkpad Bluetooth с программным обеспечением Enhanced Data Rate Software 6.4.0.2900 и более ранних версий позволяет локальным пользователям и, возможно, удаленным злоумышленникам выполнять произвольный код и проводить атаки с захватом DLL через троянский DLL, расположенный в той же папке, что и файл, обрабатываемый Lenovo Bluetooth.
CVE-2023-4607Аутентифицированный пользователь XCC может изменять разрешения для любого пользователя с помощью специально созданной команды API.
CVE-2023-29057Разрешения локальной учетной записи действительного пользователя XCC переопределяют разрешения Active Directory при определенных конфигурациях. Это может привести к повышению привилегий. Уязвимость возникает, если LDAP настроен для аутентификации/авторизации, а вход в систему настроен как «Сначала локально, затем LDAP».
CVE-2023-25492Аутентифицированный пользователь может вызвать отказ в обслуживании веб-интерфейса XCC или другое неопределенное поведение из-за уязвимости внедрения форматной строки в API веб-интерфейса.
CVE-2023-0896В Lenovo Smart Clock Essential with Alexa Built In был обнаружен пароль по умолчанию, который может позволить неавторизованному злоумышленнику с локальным сетевым доступом получить доступ к устройству.
CVE-2023-0683Действительный, аутентифицированный пользователь XCC с правами только на чтение может получить повышенные привилегии с помощью специально созданного вызова API.
CVE-2022-34886Уязвимость удаленного выполнения кода была обнаружена во встроенном ПО, используемом в некоторых принтерах Lenovo, что может быть вызвано удаленным пользователем, передающим недопустимую строку в интерфейс на стороне сервера через скрипт, что приводит к переполнению стека.
CVE-2022-1513Сообщалось о потенциальной уязвимости в Lenovo PCManager до версии 5.0.10.4191, которая может позволить выполнить код при посещении специально созданного веб-сайта.