PT-2020-10230 · Lenovo+1 · Lenovo Xclarity Administrator+1
Publicado
2020-03-13
·
Atualizado
2021-11-02
·
CVE-2019-19756
CVSS v3.1
7.9
Alta
| Vetor | AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Lenovo XClarity Administrator versão 2.6.0
Descrição
Uma auditoria interna de segurança do produto descobriu que as credenciais do sistema operacional Windows utilizadas para atualizações de drivers de sistemas gerenciados estão sendo gravadas em um arquivo de log em texto simples. Esse problema afeta os arquivos de log acessíveis a usuários autorizados no log de serviço First Failure Data Capture (FFDC) e nos arquivos de log no LXCA, especificamente ao realizar uma atualização de driver do Windows.
Recomendações
Para o Lenovo XClarity Administrator versão 2.6.0, considere restringir o acesso aos arquivos de log no log de serviço First Failure Data Capture (FFDC) e aos arquivos de log no LXCA para minimizar o risco de exposição de credenciais até que uma correção esteja disponível.
Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Lenovo Xclarity Administrator
Windows