CVSS: 7.6EPSS: 0%CPEs: 345EXPL: 0CVE-2018-12169
https://notcve.org/view.php?id=CVE-2018-12169
Platform sample code firmware in 4th Generation Intel Core Processor, 5th Generation Intel Core Processor, 6th Generation Intel Core Processor, 7th Generation Intel Core Processor and 8th Generation Intel Core Processor contains a logic error which may allow physical attacker to potentially bypass firmware authentication. El firmware del código de muestra de la plataforma en 4ª, 5ª, 6ª, 7ª y 8ª generación del procesador Intel Core contiene un error lógico que podría permitir a un atacante físico omitir la autenticación del firmware. • http://www.securityfocus.com/bid/105387 https://edk2-docs.gitbooks.io/security-advisory/content/unauthenticated-firmware-chain-of-trust-bypass.html https://support.lenovo.com/us/en/solutions/LEN-20527 • CWE-287: Improper Authentication •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-9065
https://notcve.org/view.php?id=CVE-2018-9065
In Lenovo xClarity Administrator versions earlier than 2.1.0, an attacker that gains access to the underlying LXCA file system user may be able to retrieve a credential store containing the service processor user names and passwords for servers previously managed by that LXCA instance, and potentially decrypt those credentials more easily than intended. En Lenovo xClarity Administrator en versiones anteriores a la 2.1.0, un atacante que obtiene acceso al usuario del sistema de archivos de LXCA podría ser capaz de recuperar un almacén de credenciales que contiene los nombres de usuario y contraseñas del procesador del servicio para los servidores gestionados previamente por la instancia LXCA y, potencialmente, descifrar estas credenciales de forma más sencilla de lo que parece. • https://support.lenovo.com/us/en/solutions/LEN-22168 • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-9064
https://notcve.org/view.php?id=CVE-2018-9064
In Lenovo xClarity Administrator versions earlier than 2.1.0, an authenticated LXCA user may abuse a web API debug call to retrieve the credentials for the System Manager user. En Lenovo xClarity Administrator en versiones anteriores a la 2.1.0, un usuario LXCA autenticado podría abusar de una llamada de depuración de una API web para recuperar las credenciales para el usuario System Manager. • https://support.lenovo.com/us/en/solutions/LEN-22168 •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 0CVE-2018-9066
https://notcve.org/view.php?id=CVE-2018-9066
In Lenovo xClarity Administrator versions earlier than 2.1.0, an authenticated LXCA user can, under specific circumstances, inject additional parameters into a specific web API call which can result in privileged command execution within LXCA's underlying operating system. En Lenovo xClarity Administrator en versiones anteriores a la 2.1.0, un usuario LXCA autenticado puede, en determinadas circunstancias, inyectar parámetros adicionales en una llamada de la API web determinada. Esto podría resultar en la ejecución privilegiada de comandos en el sistema operativo subyacente de LXCA. • https://support.lenovo.com/us/en/solutions/LEN-22168 • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 0%CPEs: 84EXPL: 0CVE-2018-9068
https://notcve.org/view.php?id=CVE-2018-9068
The IMM2 First Failure Data Capture function collects management module logs and diagnostic information when a hardware error is detected. This information is made available for download through an SFTP server hosted on the IMM2 management network interface. In versions earlier than 4.90 for Lenovo System x and earlier than 6.80 for IBM System x, the credentials to access the SFTP server are hard-coded and described in the IMM2 documentation, allowing an attacker with management network access to obtain the collected FFDC data. After applying the update, the IMM2 will create random SFTP credentials for use with OneCLI. La función IMM2 First Failure Data Capture recopila información de diagnóstico y registros de los módulos de gestión cuando se detecta un error de hardware. • https://support.lenovo.com/us/en/solutions/LEN-20227 • CWE-798: Use of Hard-coded Credentials •