CVE-2019-19756
https://notcve.org/view.php?id=CVE-2019-19756
An internal product security audit of Lenovo XClarity Administrator (LXCA) discovered Windows OS credentials, used to perform driver updates of managed systems, being written to a log file in clear text. This only affects LXCA version 2.6.0 when performing a Windows driver update. Affected logs are only accessible to authorized users in the First Failure Data Capture (FFDC) service log and log files on LXCA. Una auditoría interna de seguridad del producto de Lenovo XClarity Administrator (LXCA), detectó que las credenciales del Sistema Operativo Windows, usadas para realizar actualizaciones de los controladores de sistemas administrados, han sido escritos en un archivo de registro en texto sin cifrar. Esto sólo afecta a LXCA versión 2.6.0 cuando se realiza una actualización del controlador de Windows. • https://support.lenovo.com/us/en/product_security/LEN-29942 • CWE-532: Insertion of Sensitive Information into Log File •
CVE-2019-6194
https://notcve.org/view.php?id=CVE-2019-6194
An XML External Entity (XXE) processing vulnerability was reported in Lenovo XClarity Administrator (LXCA) versions prior to 2.6.6 that could allow information disclosure. Se reportó una vulnerabilidad de procesamiento de XML External Entity (XXE) en Lenovo XClarity Administrator (LXCA) versiones anteriores a 2.6.6, lo que podría permitir una divulgación de información. • https://support.lenovo.com/us/en/product_security/LEN-29477 • CWE-611: Improper Restriction of XML External Entity Reference •
CVE-2019-6193
https://notcve.org/view.php?id=CVE-2019-6193
An information disclosure vulnerability was reported in Lenovo XClarity Administrator (LXCA) versions prior to 2.6.6 that could allow unauthenticated access to some configuration files which may contain usernames, license keys, IP addresses, and encrypted password hashes. Se reportó una vulnerabilidad de divulgación de información en Lenovo XClarity Administrator (LXCA) versiones anteriores a 2.6.6, lo que podría permitir el acceso no autenticado a algunos archivos de configuración que pueden contener nombres de usuario, claves de licencia, direcciones IP y hashes de contraseña cifrados. • https://support.lenovo.com/us/en/product_security/LEN-29477 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-284: Improper Access Control •
CVE-2019-19757
https://notcve.org/view.php?id=CVE-2019-19757
An internal product security audit of Lenovo XClarity Administrator (LXCA) discovered a Document Object Model (DOM) based cross-site scripting vulnerability in versions prior to 2.6.6 that could allow JavaScript code to be executed in the user's web browser if a specially crafted link is visited. The JavaScript code is executed on the user's system, not executed on LXCA itself. Una auditoría interna de seguridad del producto Lenovo XClarity Administrator (LXCA) detectó una vulnerabilidad de tipo cross-site scripting basada en Document Object Model (DOM) en versiones anteriores a 2.6.6, lo que podría permitir que el código JavaScript sea ejecutado en el navegador web del usuario si un enlace especialmente diseñado es visitado. El código JavaScript es ejecutado sobre el sistema del usuario, no se ejecuta en LXCA por si mismo. • https://support.lenovo.com/us/en/product_security/LEN-29477 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •