CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2017-3743
https://notcve.org/view.php?id=CVE-2017-3743
If multiple users are concurrently logged into a single system where one user is sending a command via the Lenovo ToolsCenter Advanced Settings Utility (ASU), UpdateXpress System Pack Installer (UXSPI) or Dynamic System Analysis (DSA) to a second machine, the other users may be able to see the user ID and clear text password that were used to access the second machine during the time the command is processing. Si múltiples usuarios han iniciado sesión simultáneamente en un único sistema en el que un usuario está enviando un comando mediante Lenovo ToolsCenter Advanced Settings Utility (ASU), UpdateXpress System Pack Installer (UXSPI) o Dynamic System Analysis (DSA) a un segundo ordenador, los otros usuarios podrían ver el ID de usuario y la contraseña en texto claro que se emplearon para acceder al segundo ordenador durante el tiempo que tarde en procesarse el comando. • https://support.lenovo.com/us/en/product_security/LEN-10810 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-3745
https://notcve.org/view.php?id=CVE-2017-3745
In Lenovo XClarity Administrator (LXCA) before 1.3.0, if service data is downloaded from LXCA, a non-administrative user may have access to password information for users that have previously authenticated to the LXCA's internal LDAP server, including administrative accounts and service accounts with administrative privileges. This is an issue only for users who have used local authentication with LXCA and not remote authentication against external LDAP or ADFS servers. En Lenovo XClarity Administrator (LXCA) en versiones anteriores a la 1.3.0, si se descargan datos del servicio desde LXCA, un usuario no administrativo podría obtener acceso a información de contraseñas de usuarios que se han autenticado previamente en el servidor LDAP interno de LXCA, incluyendo las cuentas administrativas y las cuentas de servicio con privilegios administrativos. Esto solo es un problema para los usuarios que han empleado la autenticación local con LXCA y no la autenticación remota contra servidores LDAP o ADFS externos. • https://support.lenovo.com/us/en/product_security/LEN-13671 • CWE-287: Improper Authentication •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2015-4596
https://notcve.org/view.php?id=CVE-2015-4596
Lenovo Mouse Suite before 6.73 allows local users to run arbitrary code with administrator privileges. Lenovo Mouse Suite anterior a la versión 6.73 permite a los usuarios locales ejecutar código arbitrario con privilegios de administrador. • https://support.lenovo.com/us/en/product_security/len_2015_066 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2016-8229
https://notcve.org/view.php?id=CVE-2016-8229
A cross-site request forgery vulnerability in Lenovo Service Bridge before version 4 could be exploited by an attacker with access to the DHCP server used by the system where LSB is installed. Una vulnerabilidad de tipo cross-site request forgery en Lenovo Service Bridge anterior a versión 4, podría ser explotada por un atacante con acceso al servidor DHCP utilizado por el sistema donde está instalado LSB. • https://support.lenovo.com/us/en/product_security/LEN-10149 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2016-8230
https://notcve.org/view.php?id=CVE-2016-8230
In Lenovo Service Bridge before version 4, an insecure HTTP connection is used by LSB to send system serial number, machine type and model and product name to Lenovo's servers. En Lenovo Service Bridge anterior a versión 4, una conexión HTTP no segura es utilizada por LSB para enviar el número del serial del sistema, el tipo y el modelo de la máquina y el nombre del producto hacia los servidores de Lenovo. • https://support.lenovo.com/us/en/product_security/LEN-10149 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •