Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-6187

Опубликовано: 20 нояб. 2019
Источник: nvd
CVSS3: 6.5
CVSS2: 4
EPSS Низкий

Описание

A stored CSV Injection vulnerability was reported in Lenovo XClarity Controller (XCC) that could allow an administrative or other appropriately permissioned user to store malformed data in certain XCC server informational fields, that could result in crafted formulas being stored in an exported CSV file. The crafted formula is not executed on XCC itself and has no effect on the server.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:a:lenovo:xclarity_controller:*:*:*:*:*:*:*:*
Версия до tei392m (исключая)

Одно из

cpe:2.3:h:lenovo:thinkagile_7x82:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_7y11:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_7y12:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_7y88:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_7y92:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_7z03:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_sd530:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_sd650:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_sn550:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_sn850:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_sr150:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_sr158:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_sr250:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_sr258:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_sr850:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_sr860:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_st250:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_st258:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

cpe:2.3:a:lenovo:xclarity_controller:*:*:*:*:*:*:*:*
Версия до cdi340m (исключая)

Одно из

cpe:2.3:h:lenovo:thinkagile_7d1h:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_7x83:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_7y13:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_7y14:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_7y90:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_7y93:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_7y94:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_7z04:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_7z05:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_7z06:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_7z07:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_7z20:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinkagile_yx84:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_sr530:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_sr550:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_sr570:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_sr590:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_sr630:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_sr650:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_st550:-:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:thinksystem_st558:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:a:lenovo:xclarity_controller:*:*:*:*:*:*:*:*
Версия до g1i312 (исключая)
cpe:2.3:h:lenovo:_thinksystem_sr670:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

cpe:2.3:a:lenovo:xclarity_controller:*:*:*:*:*:*:*:*
Версия до psi328m (исключая)
cpe:2.3:h:lenovo:thinksystem_sr950:-:*:*:*:*:*:*:*

EPSS

Процентиль: 66%
0.00509
Низкий

6.5 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-1236

Связанные уязвимости

github логотип

GHSA-hvmh-jgw7-f7xg

github
больше 3 лет назад

A stored CSV Injection vulnerability was reported in Lenovo XClarity Controller (XCC) that could allow an administrative or other appropriately permissioned user to store malformed data in certain XCC server informational fields, that could result in crafted formulas being stored in an exported CSV file. The crafted formula is not executed on XCC itself and has no effect on the server.

EPSS

Процентиль: 66%
0.00509
Низкий

6.5 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-1236