Page 69 of 421 results (0.022 seconds)

CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0

The Lenovo Service Framework Android application accepts some responses from the server without proper validation. This exposes the application to man-in-the-middle attacks leading to possible remote code execution. La aplicación Lenovo Service Framework de Android acepta algunas respuestas del servidor sin una validación correcta. Esto expone la aplicación a ataques Man-in-the-Middle (MitM), pudiendo provocar que se ejecute código de manera remota. • https://support.lenovo.com/us/en/product_security/LEN-15374 • CWE-20: Improper Input Validation •

CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0

The Lenovo Service Framework Android application executes some system commands without proper sanitization of external input. In certain cases, this could lead to command injection which, in turn, could lead to remote code execution. La aplicación Lenovo Service Framework de Android ejecuta algunos comandos de sistema sin sanitizar correctamente las entradas externas. En algunos casos, esto puede provocar una inyección de comandos que, a su vez, puede resultar en una ejecución remota de código. • https://support.lenovo.com/us/en/product_security/LEN-15374 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •

CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0

The Lenovo Service Framework Android application uses a set of nonsecure credentials when performing integrity verification of downloaded applications and/or data. This exposes the application to man-in-the-middle attacks leading to possible remote code execution. La aplicación Lenovo Service Framework de Android utiliza una serie de credenciales no seguras cuando se realiza la verificación de integridad de las aplicaciones o datos descargados. Esto expone la aplicación a ataques Man-in-the-Middle (MitM), pudiendo provocar que se ejecute código de manera remota. • https://support.lenovo.com/us/en/product_security/LEN-15374 • CWE-354: Improper Validation of Integrity Check Value CWE-522: Insufficiently Protected Credentials •

CVSS: 5.9EPSS: 0%CPEs: 131EXPL: 3

The Infineon RSA library 1.02.013 in Infineon Trusted Platform Module (TPM) firmware, such as versions before 0000000000000422 - 4.34, before 000000000000062b - 6.43, and before 0000000000008521 - 133.33, mishandles RSA key generation, which makes it easier for attackers to defeat various cryptographic protection mechanisms via targeted attacks, aka ROCA. Examples of affected technologies include BitLocker with TPM 1.2, YubiKey 4 (before 4.3.5) PGP key generation, and the Cached User Data encryption feature in Chrome OS. La librería Infineon RSA 1.02.013 en firmware Infineon Trusted Platform Module (TPM) como las versiones anteriores a la 0000000000000422 - 4.34, anteriores a la 000000000000062b - 6.43 y anteriores a la 0000000000008521 - 133.33, gestiona de manera incorrecta la generación de claves RSA, lo que hace que sea más fácil para los atacantes superar varios mecanismos de protección criptográfica mediante ataques dirigidos, conocido como ROCA. Ejemplos de las tecnologías afectadas son BitLocker con TPM 1.2, la generación de claves PGP con YubiKey 4 (en versiones anteriores a la 4.3.5) y la característica de cifrado Cached User Data en Chrome OS. • https://github.com/nsacyber/Detect-CVE-2017-15361-TPM https://github.com/lva/Infineon-CVE-2017-15361 https://github.com/Elbarbons/ROCA-attack-on-vulnerability-CVE-2017-15361 http://support.lenovo.com/us/en/product_security/LEN-15552 http://www.securityfocus.com/bid/101484 https://arstechnica.com/information-technology/2017/10/crypto-failure-cripples-millions-of-high-security-keys-750k-estonian-ids https://blog.cr.yp.to/20171105-infineon.html https://cert-portal.siemens.com/productcert/pdf •

CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 1

Lenovo System Update (formerly ThinkVantage System Update) before 5.07.0013 allows local users to submit commands to the System Update service (SUService.exe) and gain privileges by launching signed Lenovo executables. Lenovo System Update (anteriormente ThinkVantage System Update) en versiones anteriores a la 5.07.0013 permite que los usuarios locales envíen comandos al servicio System Update (SUService.exe) y obtengan privilegios abriendo ejecutables firmados por Lenovo. • https://support.lenovo.com/us/en/product_security/lsu_privilege https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2015-018/?fid=7172 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •