CVSS: 4.8EPSS: 0%CPEs: 45EXPL: 0CVE-2019-6195
https://notcve.org/view.php?id=CVE-2019-6195
An authorization bypass exists in Lenovo XClarity Controller (XCC) versions prior to 3.08 CDI340V, 3.01 TEI392O, 1.71 PSI328N where a valid authenticated user with lesser privileges may be granted read-only access to higher-privileged information if 1) “LDAP Authentication Only with Local Authorization” mode is configured and used by XCC, and 2) a lesser privileged user logs into XCC within 1 minute of a higher privileged user logging out. The authorization bypass does not exist when “Local Authentication and Authorization” or “LDAP Authentication and Authorization” modes are configured and used by XCC. Se presenta una omisión de autorización en Lenovo XClarity Controller (XCC) versiones anteriores a 3.08 CDI340V, versión 3.01 TEI392O, versión 1.71 PSI328N, donde un usuario autenticado válido con privilegios menores puede tener acceso de solo de lectura a información con privilegios superiores si 1) "LDAP Authentication Only with Local Authorization” es configurado y utilizado por XCC, y 2) un usuario con menos privilegios inicia sesión en XCC dentro de 1 minuto después de que un usuario con mayor privilegio cierre sesión. La omisión de autorización no se presenta cuando los modos “Local Authentication and Authorization” o “LDAP Authentication and Authorization” son configurados y utilizados por XCC. • https://support.lenovo.com/us/en/product_security/LEN-29116 • CWE-264: Permissions, Privileges, and Access Controls CWE-269: Improper Privilege Management •
CVSS: 5.7EPSS: 0%CPEs: 1EXPL: 0CVE-2019-6194
https://notcve.org/view.php?id=CVE-2019-6194
An XML External Entity (XXE) processing vulnerability was reported in Lenovo XClarity Administrator (LXCA) versions prior to 2.6.6 that could allow information disclosure. Se reportó una vulnerabilidad de procesamiento de XML External Entity (XXE) en Lenovo XClarity Administrator (LXCA) versiones anteriores a 2.6.6, lo que podría permitir una divulgación de información. • https://support.lenovo.com/us/en/product_security/LEN-29477 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-6193
https://notcve.org/view.php?id=CVE-2019-6193
An information disclosure vulnerability was reported in Lenovo XClarity Administrator (LXCA) versions prior to 2.6.6 that could allow unauthenticated access to some configuration files which may contain usernames, license keys, IP addresses, and encrypted password hashes. Se reportó una vulnerabilidad de divulgación de información en Lenovo XClarity Administrator (LXCA) versiones anteriores a 2.6.6, lo que podría permitir el acceso no autenticado a algunos archivos de configuración que pueden contener nombres de usuario, claves de licencia, direcciones IP y hashes de contraseña cifrados. • https://support.lenovo.com/us/en/product_security/LEN-29477 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-284: Improper Access Control •
CVSS: 5.5EPSS: 0%CPEs: 364EXPL: 0CVE-2019-6190
https://notcve.org/view.php?id=CVE-2019-6190
Lenovo was notified of a potential denial of service vulnerability, affecting various versions of BIOS for Lenovo Desktop, Desktop - All in One, and ThinkStation, that could cause PCRs to be cleared intermittently after resuming from sleep (S3) on systems with Intel TXT enabled. Lenovo fue notificado de una potencial vulnerabilidad de denegación de servicio, que afecta a varias versiones de la BIOS para Lenovo Desktop, Desktop - All in One y ThinkStation, lo que podría causar que los PCR sean borrados de forma intermitente después de reanudar el modo de suspensión (S3) en sistemas con Intel TXT habilitado. • https://exchange.xforce.ibmcloud.com/vulnerabilities/176178 https://support.lenovo.com/us/en/product_security/LEN-28078 • CWE-665: Improper Initialization •
CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2019-19758
https://notcve.org/view.php?id=CVE-2019-19758
A vulnerability in the web interface of Lenovo EZ Media & Backup Center, ix2 & ix2-dl version 4.1.406.34763 and prior could allow an unauthenticated, remote attacker to redirect a user to an untrusted web page. Una vulnerabilidad en la interfaz web de Lenovo EZ Media & Backup Center, ix2 & ix2-dl versiones 4.1.406.34763 y anteriores, lo que podría permitir a un atacante no autenticado remoto redireccionar a un usuario hacia una página web no confiable. • https://support.lenovo.com/us/en/product_security/LEN-30242 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •