CVSS: 7.2EPSS: 0%CPEs: 222EXPL: 0CVE-2017-3753
https://notcve.org/view.php?id=CVE-2017-3753
A vulnerability has been identified in some Lenovo products that use UEFI (BIOS) code developed by American Megatrends, Inc. (AMI). With this vulnerability, conditions exist where an attacker with administrative privileges or physical access to a system may be able to run specially crafted code that can allow them to bypass system protections such as Device Guard and Hyper-V. Se ha identificado una vulnerabilidad en algunos productos Lenovo que emplean código UEFI (BIOS) desarrollado por American Megatrends, Inc. (AMI). • https://support.lenovo.com/us/en/product_security/LEN-14695 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-3751
https://notcve.org/view.php?id=CVE-2017-3751
An unquoted service path vulnerability was identified in the driver for the ThinkPad Compact USB Keyboard with TrackPoint versions earlier than 1.5.5.0. This could allow an attacker with local privileges to execute code with administrative privileges. Se ha identificado una vulnerabilidad de ruta de búsqueda sin entrecomillar en el driver para ThinkPad Compact USB Keyboard con versiones de TrackPoint anteriores a la 1.5.5.0. Esto podría permitir que un atacante con privilegios locales ejecutase código con privilegios administrativos. • https://support.lenovo.com/us/en/product_security/LEN-15061 • CWE-428: Unquoted Search Path or Element •
CVSS: 8.2EPSS: 0%CPEs: 50EXPL: 0CVE-2017-3752
https://notcve.org/view.php?id=CVE-2017-3752
An industry-wide vulnerability has been identified in the implementation of the Open Shortest Path First (OSPF) routing protocol used on some Lenovo switches. Exploitation of these implementation flaws may result in attackers being able to erase or alter the routing tables of one or many routers, switches, or other devices that support OSPF within a routing domain. Se ha identificado una vulnerabilidad que afecta a toda la industria en la implementación del protocolo de enrutamiento Open Shortest Path First (OSPF) empleado en algunos switches Lenovo. La explotación de estos fallos de implementación puede dar lugar a que los atacantes consigan borrar o alterar las tablas de de enrutamiento de uno o muchos routers, switches u otros dispositivos que son compatibles con OSPF en un dominio de enrutamiento. • http://www.securityfocus.com/bid/99995 https://support.lenovo.com/us/en/product_security/LEN-14078 • CWE-20: Improper Input Validation •
CVSS: 4.8EPSS: 0%CPEs: 4EXPL: 0CVE-2017-3742
https://notcve.org/view.php?id=CVE-2017-3742
In Lenovo Connect2 versions earlier than 4.2.5.4885 for Windows and 4.2.5.3071 for Android, when an ad-hoc connection is made between two systems for the purpose of sharing files, the password for this ad-hoc connection will be stored in a user-readable location. An attacker with read access to the user's contents could connect to the Connect2 hotspot and see the contents of files while they are being transferred between the two systems. En las versiones de Lenovo Connect2 anteriores a 4.2.5.4885 para Windows y versión 4.2.5.3071 para Android, cuando una conexión ad-hoc se realiza entre dos sistemas con el fin de compartir archivos, la contraseña de esta conexión ad-hoc será almacenada en una ubicación legible por el usuario. Un atacante con acceso de lectura al contenido del usuario podría conectarse al punto de acceso Connect2 y visualizar el contenido de los archivos mientras estos son transferidos entre los dos sistemas. • https://support.lenovo.com/us/en/product_security/LEN-14398 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.2EPSS: 0%CPEs: 20EXPL: 0CVE-2017-3754
https://notcve.org/view.php?id=CVE-2017-3754
Some Lenovo brand notebook systems do not have write protections properly configured in the system BIOS. This could enable an attacker with physical or administrative access to a system to be able to flash the BIOS with an arbitrary image and potentially run malicious BIOS code. Algunos sistemas notebook de la marca Lenovo no tienen protecciones de escritura configuradas apropiadamente en el BIOS del sistema. Esto podría permitir a un atacante con acceso físico o administrativo a un sistema para ser capaz de flashear el BIOS con una imagen arbitraria y potencialmente ejecutar código BIOS malicioso. • https://support.lenovo.com/us/en/product_security/LEN-15084 •