CVSS: 9.8EPSS: 0%CPEs: 10EXPL: 0CVE-2021-3849
https://notcve.org/view.php?id=CVE-2021-3849
An authentication bypass vulnerability was discovered in the web interface of the Lenovo Fan Power Controller2 (FPC2) and Lenovo System Management Module (SMM) firmware that could allow an unauthenticated attacker to execute commands on the SMM and FPC2. SMM2 is not affected. Se ha detectado una vulnerabilidad de omisión de autenticación en la interfaz web del firmware de Lenovo Fan Power Controller2 (FPC2) y Lenovo System Management Module (SMM) que podría permitir a un atacante no autenticado ejecutar comandos en el SMM y el FPC2. SMM2 no está afectado • https://support.lenovo.com/us/en/product_security/LEN-72615 • CWE-288: Authentication Bypass Using an Alternate Path or Channel •
CVSS: 7.2EPSS: 0%CPEs: 2EXPL: 0CVE-2022-1108
https://notcve.org/view.php?id=CVE-2022-1108
A potential vulnerability due to improper buffer validation in the SMI handler LenovoFlashDeviceInterface in Thinkpad X1 Fold Gen 1 could be exploited by an attacker with local access and elevated privileges to execute arbitrary code. Una potencial vulnerabilidad debida a una comprobación inapropiada del buffer en el manejador SMI LenovoFlashDeviceInterface en el Thinkpad X1 Fold Gen 1 podría ser explotada por un atacante con acceso local y altos privilegios para ejecutar código arbitrario • https://support.lenovo.com/us/en/product_security/LEN-84943 • CWE-20: Improper Input Validation CWE-269: Improper Privilege Management •
CVSS: 7.2EPSS: 0%CPEs: 60EXPL: 0CVE-2022-1107
https://notcve.org/view.php?id=CVE-2022-1107
During an internal product security audit a potential vulnerability due to use of Boot Services in the SmmOEMInt15 SMI handler was discovered in some ThinkPad models could be exploited by an attacker with elevated privileges that could allow for execution of code. Durante una auditoría de seguridad interna del producto se descubrió una posible vulnerabilidad debida al uso de los servicios de arranque en el manejador SMI SmmOEMInt15 en algunos modelos de ThinkPad que podría ser explotada por un atacante con privilegios elevados que podría permitir la ejecución de código • https://support.lenovo.com/us/en/product_security/LEN-84943 • CWE-20: Improper Input Validation CWE-269: Improper Privilege Management •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-0636
https://notcve.org/view.php?id=CVE-2022-0636
A denial of service vulnerability was reported in Lenovo Thin Installer prior to version 1.3.0039 that could trigger a system crash. Se ha informado de una vulnerabilidad de denegación de servicio en Lenovo Thin Installer versiones anteriores a 1.3.0039, que podría desencadenar un bloqueo del sistema • https://support.lenovo.com/us/en/product_security/LEN-78116 • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-0354
https://notcve.org/view.php?id=CVE-2022-0354
A vulnerability was reported in Lenovo System Update that could allow a local user with interactive system access the ability to execute code with elevated privileges only during the installation of a System Update package released before 2022-02-25 that displays a command prompt window. Se ha informado de una vulnerabilidad en Lenovo System Update que podría permitir a un usuario local con acceso interactivo al sistema la capacidad de ejecutar código con altos privilegios sólo durante la instalación de un paquete de System Update publicado antes del 25-02-2022, que muestra una ventana de símbolo del sistema • https://support.lenovo.com/us/en/product_security/LEN-76673 https://www.infosec.tirol/cve-2022-0354 •