CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-6180
https://notcve.org/view.php?id=CVE-2019-6180
A stored cross-site scripting (XSS) vulnerability was reported in Lenovo XClarity Administrator (LXCA) versions prior to 2.5.0 that could allow an administrative user to cause JavaScript code to be stored in LXCA which may then be executed in the user's web browser. The JavaScript code is not executed on LXCA itself. Una vulnerabilidad de Cross-Site Scripting (XSS) persistente, fue reportada en Lenovo XClarity Administrator (LXCA) versiones anteriores a la 2.5.0 esto podría permitir que un usuario administrativo haga que el código JavaScript se almacene en LXCA, que luego puede ejecutarse en el navegador web del usuario. El código JavaScript no se ejecuta en el propio LXCA. • https://support.lenovo.com/solutions/LEN-27805 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-6179
https://notcve.org/view.php?id=CVE-2019-6179
An XML External Entity (XXE) processing vulnerability was reported in Lenovo XClarity Administrator (LXCA) prior to version 2.5.0 , Lenovo XClarity Integrator (LXCI) for Microsoft System Center prior to version 7.7.0, and Lenovo XClarity Integrator (LXCI) for VMWare vCenter prior to version 6.1.0 that could allow information disclosure. Se informo de una vulnerabilidad de procesamiento de XEE (XML External Entity) en Lenovo XClarity Administrator (LXCA) en versiones anteriores a la 2.5.0, Lenovo XClarity Integrator (LXCI) para Microsoft System Center en versiones anteriores a la 7.7.0, y Lenovo XClarity Integrator (LXCI) para VMWare vCenter en versiones anteriores a la 6.1.0 que podría permitir la divulgación de información. • https://support.lenovo.com/solutions/LEN-27805 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 8.7EPSS: 0%CPEs: 1EXPL: 0CVE-2019-6158
https://notcve.org/view.php?id=CVE-2019-6158
An internal product security audit of Lenovo XClarity Administrator (LXCA) discovered HTTP proxy credentials being written to a log file in clear text. This only affects LXCA when HTTP proxy credentials have been configured. This affects LXCA versions 2.0.0 to 2.3.x. Una auditoría interna de seguridad del producto de Lenovo XClarity Administrator (LXCA) descubrió que las credenciales de proxy HTTP se escribían en un archivo de registro en texto en claro. Esto sólo afecta a LXCA cuando se han configurado las credenciales de proxy HTTP. • http://www.securityfocus.com/bid/108165 https://support.lenovo.com/solutions/LEN-26141 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-9065
https://notcve.org/view.php?id=CVE-2018-9065
In Lenovo xClarity Administrator versions earlier than 2.1.0, an attacker that gains access to the underlying LXCA file system user may be able to retrieve a credential store containing the service processor user names and passwords for servers previously managed by that LXCA instance, and potentially decrypt those credentials more easily than intended. En Lenovo xClarity Administrator en versiones anteriores a la 2.1.0, un atacante que obtiene acceso al usuario del sistema de archivos de LXCA podría ser capaz de recuperar un almacén de credenciales que contiene los nombres de usuario y contraseñas del procesador del servicio para los servidores gestionados previamente por la instancia LXCA y, potencialmente, descifrar estas credenciales de forma más sencilla de lo que parece. • https://support.lenovo.com/us/en/solutions/LEN-22168 • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 0CVE-2018-9066
https://notcve.org/view.php?id=CVE-2018-9066
In Lenovo xClarity Administrator versions earlier than 2.1.0, an authenticated LXCA user can, under specific circumstances, inject additional parameters into a specific web API call which can result in privileged command execution within LXCA's underlying operating system. En Lenovo xClarity Administrator en versiones anteriores a la 2.1.0, un usuario LXCA autenticado puede, en determinadas circunstancias, inyectar parámetros adicionales en una llamada de la API web determinada. Esto podría resultar en la ejecución privilegiada de comandos en el sistema operativo subyacente de LXCA. • https://support.lenovo.com/us/en/solutions/LEN-22168 • CWE-20: Improper Input Validation •