6 results (0.005 seconds)

CVSS: 6.9EPSS: 0%CPEs: 38EXPL: 0

A potential vulnerability in the SMI callback function used in the legacy BIOS mode USB drivers in some legacy Lenovo and IBM System x servers may allow arbitrary code execution. Servers operating in UEFI mode are not affected. Una potencial vulnerabilidad en la devolución de llamada de la función SMI utilizada en los controladores USB del modo BIOS heredado en algunos servidores Lenovo e IBM System x heredados puede permitir una ejecución de código arbitraria. Los servidores que funcionan en modo UEFI no están afectados • https://support.lenovo.com/us/en/product_security/LEN-38625 • CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition •

CVSS: 7.5EPSS: 0%CPEs: 84EXPL: 0

In various firmware versions of Lenovo System x, the integrated management module II (IMM2)'s first failure data capture (FFDC) includes the web server's private key in the generated log file for support. En varias versiones de firmware de Lenovo System x, First Failure Data Capture (FFDC) del módulo de administración integrada II (IMM2) incluye la clave privada del servidor web dentro del archivo de registro generado para soporte. • https://support.lenovo.com/solutions/LEN-25667 • CWE-532: Insertion of Sensitive Information into Log File •

CVSS: 4.9EPSS: 0%CPEs: 58EXPL: 0

A write protection lock bit was left unset after boot on an older generation of Lenovo and IBM System x servers, potentially allowing an attacker with administrator access to modify the subset of flash memory containing Intel Server Platform Services (SPS) and the system Flash Descriptors. Se ha dejado sin establecer un bit de bloqueo de protección de escritura tras el arranque en una generación más antigua de los servidores x de Lenovo y IBM System, lo que podría permitir que un atacante con acceso de administrador modifique el subconjunto de memoria flash que contiene Intel SPS (Server Platform Services) y los descriptores flash del sistema. • https://support.lenovo.com/us/en/solutions/LEN-24477 • CWE-276: Incorrect Default Permissions •

CVSS: 7.5EPSS: 0%CPEs: 84EXPL: 0

The IMM2 First Failure Data Capture function collects management module logs and diagnostic information when a hardware error is detected. This information is made available for download through an SFTP server hosted on the IMM2 management network interface. In versions earlier than 4.90 for Lenovo System x and earlier than 6.80 for IBM System x, the credentials to access the SFTP server are hard-coded and described in the IMM2 documentation, allowing an attacker with management network access to obtain the collected FFDC data. After applying the update, the IMM2 will create random SFTP credentials for use with OneCLI. La función IMM2 First Failure Data Capture recopila información de diagnóstico y registros de los módulos de gestión cuando se detecta un error de hardware. • https://support.lenovo.com/us/en/solutions/LEN-20227 • CWE-798: Use of Hard-coded Credentials •

CVSS: 9.8EPSS: 0%CPEs: 44EXPL: 0

A stack overflow vulnerability was discovered within the web administration service in Integrated Management Module 2 (IMM2) earlier than version 4.70 used in some Lenovo servers and earlier than version 6.60 used in some IBM servers. An attacker providing a crafted user ID and password combination can cause a portion of the authentication routine to overflow its stack, resulting in stack corruption. Se ha descubierto una vulnerabilidad de desbordamiento de pila en el servicio de administración web en Integrated Management Module 2 (IMM2), en versiones anteriores a la 4.70 empleadas en algunos servidores de Lenovo y en versiones anteriores a la 6.60 empleadas en algunos servidores de IBM. Un atacante que proporcione una combinación de ID y contraseña manipulados puede hacer que una porción de la rutina de autenticación desborde su pila, lo que provoca una corrupción de la pila. • https://support.lenovo.com/us/en/product_security/LEN-19586 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •