CVSS: 7.9EPSS: 0%CPEs: 1EXPL: 0CVE-2019-19756
https://notcve.org/view.php?id=CVE-2019-19756
An internal product security audit of Lenovo XClarity Administrator (LXCA) discovered Windows OS credentials, used to perform driver updates of managed systems, being written to a log file in clear text. This only affects LXCA version 2.6.0 when performing a Windows driver update. Affected logs are only accessible to authorized users in the First Failure Data Capture (FFDC) service log and log files on LXCA. Una auditoría interna de seguridad del producto de Lenovo XClarity Administrator (LXCA), detectó que las credenciales del Sistema Operativo Windows, usadas para realizar actualizaciones de los controladores de sistemas administrados, han sido escritos en un archivo de registro en texto sin cifrar. Esto sólo afecta a LXCA versión 2.6.0 cuando se realiza una actualización del controlador de Windows. • https://support.lenovo.com/us/en/product_security/LEN-29942 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 5.7EPSS: 0%CPEs: 1EXPL: 0CVE-2019-6194
https://notcve.org/view.php?id=CVE-2019-6194
An XML External Entity (XXE) processing vulnerability was reported in Lenovo XClarity Administrator (LXCA) versions prior to 2.6.6 that could allow information disclosure. Se reportó una vulnerabilidad de procesamiento de XML External Entity (XXE) en Lenovo XClarity Administrator (LXCA) versiones anteriores a 2.6.6, lo que podría permitir una divulgación de información. • https://support.lenovo.com/us/en/product_security/LEN-29477 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-6193
https://notcve.org/view.php?id=CVE-2019-6193
An information disclosure vulnerability was reported in Lenovo XClarity Administrator (LXCA) versions prior to 2.6.6 that could allow unauthenticated access to some configuration files which may contain usernames, license keys, IP addresses, and encrypted password hashes. Se reportó una vulnerabilidad de divulgación de información en Lenovo XClarity Administrator (LXCA) versiones anteriores a 2.6.6, lo que podría permitir el acceso no autenticado a algunos archivos de configuración que pueden contener nombres de usuario, claves de licencia, direcciones IP y hashes de contraseña cifrados. • https://support.lenovo.com/us/en/product_security/LEN-29477 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-284: Improper Access Control •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2019-19757
https://notcve.org/view.php?id=CVE-2019-19757
An internal product security audit of Lenovo XClarity Administrator (LXCA) discovered a Document Object Model (DOM) based cross-site scripting vulnerability in versions prior to 2.6.6 that could allow JavaScript code to be executed in the user's web browser if a specially crafted link is visited. The JavaScript code is executed on the user's system, not executed on LXCA itself. Una auditoría interna de seguridad del producto Lenovo XClarity Administrator (LXCA) detectó una vulnerabilidad de tipo cross-site scripting basada en Document Object Model (DOM) en versiones anteriores a 2.6.6, lo que podría permitir que el código JavaScript sea ejecutado en el navegador web del usuario si un enlace especialmente diseñado es visitado. El código JavaScript es ejecutado sobre el sistema del usuario, no se ejecuta en LXCA por si mismo. • https://support.lenovo.com/us/en/product_security/LEN-29477 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 0CVE-2019-6182
https://notcve.org/view.php?id=CVE-2019-6182
A stored CSV Injection vulnerability was reported in Lenovo XClarity Administrator (LXCA) versions prior to 2.5.0 that could allow an administrative user to store malformed data in LXCA Jobs and Event Log data, that could result in crafted formulas stored in an exported CSV file. The crafted formula is not executed on LXCA itself. Se informó una vulnerabilidad de inyección CSV almacenada en Lenovo XClarity Administrator (LXCA) en versiones anteriores a la 2.5.0 que podría permitir a un usuario administrativo almacenar datos con formato incorrecto en trabajos de LXCA y datos de registro de eventos, lo que podría dar como resultado fórmulas diseñadas almacenadas en un archivo CSV exportado. La fórmula diseñada no se ejecuta en LXCA. • https://support.lenovo.com/solutions/LEN-27805 • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •