Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03885

Опубликовано: 09 апр. 2024
Источник: fstec
CVSS3: 7.2
CVSS2: 9
EPSS Низкий

Описание

Уязвимость модулей управления системой (System Management Module -SMM/SMM2) и контроллера питания вентилятора (Fan Power Controller - FPC) микропрограммного обеспечения систем хранения данных Lenovo ThinkSystem, ThinkAgile, NeXtScale и ноутбуков Lenovo CP-CB-10 существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды

Вендор

Lenovo Group Limited

Наименование ПО

Lenovo ThinkSystem DW612 Enclosure
Lenovo ThinkSystem DA240 Enclosure
Lenovo ThinkSystem D2 Enclosure
Lenovo ThinkAgile VX Enclosure
Lenovo ThinkAgile HX Enclosure Certified Node
Lenovo CP-CB-10E
Lenovo CP-CB-10
Lenovo NeXtScale Enclosure - n1200 water-cooled Enclosure
Lenovo NeXtScale Enclosure - n1200 Enclosure

Версия ПО

до UMSM12I-1.1.3 (Lenovo ThinkSystem DW612 Enclosure)
до UMSM12I-1.1.3 (Lenovo ThinkSystem DA240 Enclosure)
до TESM40B-1.27 (Lenovo ThinkSystem D2 Enclosure)
до TESM40B-1.27 (Lenovo ThinkAgile VX Enclosure)
до TESM40B-1.27 (Lenovo ThinkAgile HX Enclosure Certified Node)
до TESM40B-1.27 (Lenovo CP-CB-10E)
до TESM40B-1.27 (Lenovo CP-CB-10)
до FHET62A-3.50 (Lenovo NeXtScale Enclosure - n1200 water-cooled Enclosure)
до FHET62A-3.50 (Lenovo NeXtScale Enclosure - n1200 Enclosure)

Тип ПО

ПО сетевого программно-аппаратного средства
Микропрограммный код аппаратных компонент компьютера

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://support.lenovo.com/us/en/product_security/LEN-140420

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 60%
0.0039
Низкий

7.2 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-4856

CVSS3: 8.8
nvd
почти 2 года назад

A format string vulnerability was identified in SMM/SMM2 and FPC that could allow an authenticated user to execute arbitrary commands on a specific API endpoint.

github логотип

GHSA-3962-w3j2-98vq

CVSS3: 8.8
github
почти 2 года назад

A format string vulnerability was identified in SMM/SMM2 and FPC that could allow an authenticated user to execute arbitrary commands on a specific API endpoint.

EPSS

Процентиль: 60%
0.0039
Низкий

7.2 High

CVSS3

9 Critical

CVSS2