CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 0CVE-2021-3417
https://notcve.org/view.php?id=CVE-2021-3417
An internal product security audit of LXCO, prior to version 1.2.2, discovered that credentials for Lenovo XClarity Administrator (LXCA), if added as a Resource Manager, are encoded then written to an internal LXCO log file each time a session is established with LXCA. Affected logs are captured in the First Failure Data Capture (FFDC) service log. The FFDC service log is only generated when requested by a privileged LXCO user and it is only accessible to the privileged LXCO user that requested the file. Una auditoría de seguridad de producto interna de LXCO, versiones anteriores a 1.2.2, detectó que las credenciales para Lenovo XClarity Administrator (LXCA), si se agregan como Administrador de Recursos, son codificadas y luego se escriben en un archivo de registro interno de LXCO cada vez que es establecida una sesión con LXCA. Los registros afectados son capturados en el registro del servicio First Failure Data Capture (FFDC). • https://support.lenovo.com/us/en/product_security/LEN-49884 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8357
https://notcve.org/view.php?id=CVE-2020-8357
A denial of service vulnerability was reported in Lenovo PCManager, prior to version 3.0.200.2042, that could allow configuration files to be written to non-standard locations. Se reportó una vulnerabilidad de denegación de servicio en Lenovo PCManager, versiones anteriores a 3.0.200.2042, que podría permitir que los archivos de configuración se escribieran en ubicaciones no estándar • https://iknow.lenovo.com.cn/detail/dc_195029.html • CWE-276: Incorrect Default Permissions •
CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8356
https://notcve.org/view.php?id=CVE-2020-8356
An internal product security audit of LXCO, prior to version 1.2.2, discovered that optional passwords, if specified, for the Syslog and SMTP forwarders are written to an internal LXCO log file in clear text. Affected logs are captured in the First Failure Data Capture (FFDC) service log. The FFDC service log is only generated when requested by a privileged LXCO user and it is only accessible to the privileged LXCO user that requested the file. Una auditoría de seguridad de producto interna de LXCO, versiones anteriores a 1.2.2, detectó que las contraseñas opcionales, si se especifican, para los reenviadores Syslog y SMTP son escritas en un archivo de registro interno de LXCO en texto sin cifrar. Unos registros afectados son capturados en el registro del servicio First Failure Data Capture (FFDC). • https://support.lenovo.com/us/en/product_security/LEN-49884 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8355
https://notcve.org/view.php?id=CVE-2020-8355
An internal product security audit of Lenovo XClarity Administrator (LXCA) prior to version 3.1.0 discovered the Windows OS credentials provided by the LXCA user to perform driver updates of managed systems may be captured in the First Failure Data Capture (FFDC) service log if the service log is generated while managed endpoints are updating. The service log is only generated when requested by a privileged LXCA user and it is only accessible to the privileged LXCA user that requested the file and is then deleted. Una auditoría de seguridad de producto interno de Lenovo XClarity Administrator (LXCA) versiones anteriores a 3.1.0, detectó que las credenciales del Sistema Operativo Windows proporcionadas por el usuario de LXCA para llevar a cabo actualizaciones de controladores de sistemas administrados pueden capturarse en el registro de servicio First Failure Data Capture (FFDC) si el registro de servicio es generado mientras se actualizan los endpoints administrados. El registro de servicio solo es generado cuando lo pide un usuario LXCA privilegiado y solo es accesible para el usuario LXCA privilegiado que pidió el archivo y luego es eliminado • https://support.lenovo.com/us/en/product_security/LEN-50446 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8351
https://notcve.org/view.php?id=CVE-2020-8351
A privilege escalation vulnerability was reported in Lenovo PCManager prior to version 3.0.50.9162 that could allow an authenticated user to execute code with elevated privileges. Se reportó una vulnerabilidad de escalada de privilegios en Lenovo PCManager anterior a versión 3.0.50.9162, que podría permitir a un usuario autenticado ejecutar código con privilegios elevados • https://iknow.lenovo.com.cn/detail/dc_193055.html • CWE-16: Configuration CWE-269: Improper Privilege Management •