CVSS: 6.9EPSS: 0%CPEs: 22EXPL: 0CVE-2017-3775
https://notcve.org/view.php?id=CVE-2017-3775
Some Lenovo System x server BIOS/UEFI versions, when Secure Boot mode is enabled by a system administrator, do not properly authenticate signed code before booting it. As a result, an attacker with physical access to the system could boot unsigned code. Algunas versiones BIOS/UEFI del servidor x de Lenovo, cuando Secure Boot está habilitado por un administrador del sistema, no autentican correctamente el código firmado antes de cargarlo. Como resultado, un atacante con acceso físico al sistema podría cargar código no firmado. • https://support.lenovo.com/us/en/solutions/LEN-20241 • CWE-287: Improper Authentication •
CVSS: 9.8EPSS: 0%CPEs: 67EXPL: 0CVE-2017-17833 – openslp: Heap memory corruption in slpd/slpd_process.c allows denial of service or potentially code execution
https://notcve.org/view.php?id=CVE-2017-17833
OpenSLP releases in the 1.0.2 and 1.1.0 code streams have a heap-related memory corruption issue which may manifest itself as a denial-of-service or a remote code-execution vulnerability. Las versiones de OpenSLP en las secuencias de código 1.0.2 y 1.1.0 tienen un problema de corrupción de memoria relacionada con la memoria dinámica (heap), que puede manifestarse como una vulnerabilidad de denegación de servicio (DoS) o de ejecución remota de código. A use-after-free flaw in OpenSLP 1.x and 2.x baselines was discovered in the ProcessSrvRqst function. A failure to update a local pointer may lead to heap corruption. A remote attacker may be able to leverage this flaw to gain remote code execution. • http://support.lenovo.com/us/en/solutions/LEN-18247 https://access.redhat.com/errata/RHSA-2018:2240 https://access.redhat.com/errata/RHSA-2018:2308 https://lists.debian.org/debian-lts-announce/2018/04/msg00029.html https://security.gentoo.org/glsa/202005-12 https://sourceforge.net/p/openslp/mercurial/ci/151f07745901cbdba6e00e4889561b4083250da1 https://usn.ubuntu.com/3708-1 https://access.redhat.com/security/cve/CVE-2017-17833 https://bugzilla.redhat.com/show_bug.cgi?id=1572166 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer CWE-416: Use After Free •
CVSS: 9.8EPSS: 0%CPEs: 44EXPL: 0CVE-2017-3774
https://notcve.org/view.php?id=CVE-2017-3774
A stack overflow vulnerability was discovered within the web administration service in Integrated Management Module 2 (IMM2) earlier than version 4.70 used in some Lenovo servers and earlier than version 6.60 used in some IBM servers. An attacker providing a crafted user ID and password combination can cause a portion of the authentication routine to overflow its stack, resulting in stack corruption. Se ha descubierto una vulnerabilidad de desbordamiento de pila en el servicio de administración web en Integrated Management Module 2 (IMM2), en versiones anteriores a la 4.70 empleadas en algunos servidores de Lenovo y en versiones anteriores a la 6.60 empleadas en algunos servidores de IBM. Un atacante que proporcione una combinación de ID y contraseña manipulados puede hacer que una porción de la rutina de autenticación desborde su pila, lo que provoca una corrupción de la pila. • https://support.lenovo.com/us/en/product_security/LEN-19586 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-3776
https://notcve.org/view.php?id=CVE-2017-3776
Lenovo Help Android mobile app versions earlier than 6.1.2.0327 allowed information to be transmitted over an HTTP channel, permitting others observing the channel to potentially see this information. La aplicación para móviles Lenovo Help Android, en versiones anteriores a la 6.1.2.0327, permitía que la información se transmitiese por medio de un canal HTTP, lo que permitía que otras personas que estuviesen observando el canal pudiesen ver dicha información. • https://support.lenovo.com/us/en/product_security/LEN-20475 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.8EPSS: 0%CPEs: 4EXPL: 0CVE-2017-3762
https://notcve.org/view.php?id=CVE-2017-3762
Sensitive data stored by Lenovo Fingerprint Manager Pro, version 8.01.86 and earlier, including users' Windows logon credentials and fingerprint data, is encrypted using a weak algorithm, contains a hard-coded password, and is accessible to all users with local non-administrative access to the system in which it is installed. Los datos sensibles almacenados por Lenovo Fingerprint Manager Pro, en su versión 8.01.86 y anteriores, incluyendo las credenciales de inicio de sesión en Windows y los datos de huella digital de los usuarios, se cifran mediante un algoritmo débil, contienen una contraseña embebida y son accesibles a todos los usuarios con acceso local no administrativo al sistema en el que está instalado. • http://www.openwall.com/lists/oss-security/2019/05/08/3 http://www.openwall.com/lists/oss-security/2019/05/08/4 http://www.openwall.com/lists/oss-security/2019/05/08/5 http://www.securityfocus.com/bid/102837 https://support.lenovo.com/product_security/LEN-15999 • CWE-798: Use of Hard-coded Credentials •