CVE-2019-6195

Опубликовано: 14 фев. 2020

Источник: nvd

CVSS3: 4.8

CVSS2: 2.1

EPSS Низкий

Описание

An authorization bypass exists in Lenovo XClarity Controller (XCC) versions prior to 3.08 CDI340V, 3.01 TEI392O, 1.71 PSI328N where a valid authenticated user with lesser privileges may be granted read-only access to higher-privileged information if 1) “LDAP Authentication Only with Local Authorization” mode is configured and used by XCC, and 2) a lesser privileged user logs into XCC within 1 minute of a higher privileged user logging out. The authorization bypass does not exist when “Local Authentication and Authorization” or “LDAP Authentication and Authorization” modes are configured and used by XCC.

Ссылки

https://support.lenovo.com/us/en/product_security/LEN-29116
Vendor Advisory
https://support.lenovo.com/us/en/product_security/LEN-29116
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:a:lenovo:xclarity_controller:*:*:*:*:*:*:*:*

Версия до 3.01_tei392o (исключая)

Одно из

cpe:2.3:h:lenovo:thinkagile_hx_1000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_hx_2000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_hx_3000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_hx_5000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_hx_7000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_vx_1000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_vx_2000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_vx_3000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_vx_5000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_vx_7000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_sd530:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_sd650_dwc:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_sn550:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_sn850:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_sr150:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_sr158:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_sr250:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_sr258:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_sr850:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_sr860:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_st250:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_st258:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:a:lenovo:xclarity_controller:*:*:*:*:*:*:*:*

Версия до 3.08_cdi340v (исключая)

Одно из

cpe:2.3:h:lenovo:thinkagile_hx_1000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_hx_2000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_hx_3000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_hx_5000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_hx_7000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_mx_sr650:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_vx_1000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_vx_2000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_vx_3000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_vx_5000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinkagile_vx_7000:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_sr530:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_sr550:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_sr570:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_sr590:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_sr630:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_sr650:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_st550:-:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:thinksystem_st558:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:a:lenovo:xclarity_controller:*:*:*:*:*:*:*:*

Версия до 1.71_psi328n (исключая)

cpe:2.3:h:lenovo:thinksystem_sr950_server:-:*:*:*:*:*:*:*

EPSS

Процентиль: 35%

0.00144

Низкий

4.8 Medium

CVSS3

2.1 Low

CVSS2

Дефекты

CWE-264

CWE-269

Связанные уязвимости

GHSA-xhgx-q9xg-fg3q

github

больше 3 лет назад

EPSS

Процентиль: 35%

0.00144

Низкий

4.8 Medium

CVSS3

2.1 Low

CVSS2

Дефекты

CWE-264

CWE-269