Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03887

Опубликовано: 09 апр. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость модулей управления системой (System Management Module -SMM/SMM2) и контроллера питания вентилятора (Fan Power Controller - FPC) микропрограммного обеспечения систем хранения данных Lenovo ThinkSystem, ThinkAgile, NeXtScale и ноутбуков Lenovo CP-CB-10 связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Lenovo Group Limited

Наименование ПО

Lenovo ThinkSystem DW612 Enclosure
Lenovo ThinkSystem DA240 Enclosure
Lenovo ThinkSystem D2 Enclosure
Lenovo ThinkAgile VX Enclosure
Lenovo ThinkAgile HX Enclosure Certified Node
Lenovo CP-CB-10E
Lenovo CP-CB-10
Lenovo NeXtScale Enclosure - n1200 water-cooled Enclosure
Lenovo NeXtScale Enclosure - n1200 Enclosure

Версия ПО

до UMSM12I-1.1.3 (Lenovo ThinkSystem DW612 Enclosure)
до UMSM12I-1.1.3 (Lenovo ThinkSystem DA240 Enclosure)
до TESM40B-1.27 (Lenovo ThinkSystem D2 Enclosure)
до TESM40B-1.27 (Lenovo ThinkAgile VX Enclosure)
до TESM40B-1.27 (Lenovo ThinkAgile HX Enclosure Certified Node)
до TESM40B-1.27 (Lenovo CP-CB-10E)
до TESM40B-1.27 (Lenovo CP-CB-10)
до FHET62A-3.50 (Lenovo NeXtScale Enclosure - n1200 water-cooled Enclosure)
до FHET62A-3.50 (Lenovo NeXtScale Enclosure - n1200 Enclosure)

Тип ПО

ПО сетевого программно-аппаратного средства
Микропрограммный код аппаратных компонент компьютера

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://support.lenovo.com/us/en/product_security/LEN-140420

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 25%
0.00085
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-4857

CVSS3: 7.5
nvd
почти 2 года назад

An authentication bypass vulnerability was identified in SMM/SMM2 and FPC that could allow an authenticated user to execute certain IPMI calls that could lead to exposure of limited system information.

github логотип

GHSA-877w-cfhh-j9x8

CVSS3: 7.5
github
почти 2 года назад

An authentication bypass vulnerability was identified in SMM/SMM2 and FPC that could allow an authenticated user to execute certain IPMI calls that could lead to exposure of limited system information.

EPSS

Процентиль: 25%
0.00085
Низкий

7.5 High

CVSS3

7.8 High

CVSS2