CVSS: 6.4EPSS: 0%CPEs: 786EXPL: 0CVE-2019-6172
https://notcve.org/view.php?id=CVE-2019-6172
A potential vulnerability in the SMI callback function used in Legacy USB driver using passed parameter without sufficient checking in some Lenovo ThinkPad models may allow arbitrary code execution. Una posible vulnerabilidad en la función de retrollamada SMI utilizada en el controlador USB heredado que utiliza el parámetro de paso sin suficiente comprobación en algunos modelos de ThinkPad de Lenovo puede permitir la ejecución de códigos arbitrarios • https://support.lenovo.com/us/en/product_security/LEN-27714 •
CVSS: 6.4EPSS: 0%CPEs: 786EXPL: 0CVE-2019-6170
https://notcve.org/view.php?id=CVE-2019-6170
A potential vulnerability in the SMI callback function used in the Legacy USB driver using boot services structure in runtime phase in some Lenovo ThinkPad models may allow arbitrary code execution. Una posible vulnerabilidad en la función de devolución de llamada SMI utilizada en el controlador USB heredado que utiliza la estructura de servicios de arranque en fase de ejecución en algunos modelos de ThinkPad de Lenovo puede permitir la ejecución de códigos arbitrarios • https://support.lenovo.com/us/en/product_security/LEN-27714 •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-6161
https://notcve.org/view.php?id=CVE-2019-6161
An internal product security audit discovered a session handling vulnerability in the web interface of ThinkAgile CP-SB (Storage Block) BMC in firmware versions prior to 1908.M. This vulnerability allows session IDs to be reused, which could provide unauthorized access to the BMC under certain circumstances. This vulnerability does not affect ThinkSystem XCC, System x IMM2, or other BMCs. Una auditoría de seguridad de producto interna detectó una vulnerabilidad de manejo de sesión en la interfaz web de ThinkAgile CP-SB (Storage Block) BMC en versiones de firmware anteriores a 1908.M. Esta vulnerabilidad permite que los ID de sesión sean reutilizados, lo que podría proporcionar acceso no autorizado al BMC en determinadas circunstancias. • https://support.lenovo.com/solutions/LEN-26957 • CWE-384: Session Fixation •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-6175 – System Update Vulnerability
https://notcve.org/view.php?id=CVE-2019-6175
A denial of service vulnerability was reported in Lenovo System Update versions prior to 5.07.0088 that could allow configuration files to be written to non-standard locations. Se reportó una vulnerabilidad de denegación de servicio en Lenovo System Update versiones anteriores a 5.07.0088, lo que podría permitir que los archivos de configuración se escriban en ubicaciones no estándar • https://support.lenovo.com/solutions/LEN-28093 •
CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 0CVE-2019-6182
https://notcve.org/view.php?id=CVE-2019-6182
A stored CSV Injection vulnerability was reported in Lenovo XClarity Administrator (LXCA) versions prior to 2.5.0 that could allow an administrative user to store malformed data in LXCA Jobs and Event Log data, that could result in crafted formulas stored in an exported CSV file. The crafted formula is not executed on LXCA itself. Se informó una vulnerabilidad de inyección CSV almacenada en Lenovo XClarity Administrator (LXCA) en versiones anteriores a la 2.5.0 que podría permitir a un usuario administrativo almacenar datos con formato incorrecto en trabajos de LXCA y datos de registro de eventos, lo que podría dar como resultado fórmulas diseñadas almacenadas en un archivo CSV exportado. La fórmula diseñada no se ejecuta en LXCA. • https://support.lenovo.com/solutions/LEN-27805 • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •