PT-2020-11198 · Lenovo · Lenovo Xclarity Controller
Publicado
2020-02-14
·
Atualizado
2020-03-04
·
CVE-2019-6195
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Lenovo XClarity Controller anteriores à 3.08 CDI340V
Versões do Lenovo XClarity Controller anteriores à 3.01 TEI392O
Versões do Lenovo XClarity Controller anteriores à 1.71 PSI328N
Descrição
Existe uma falha de autorização em que um usuário autenticado válido com privilégios inferiores pode receber acesso somente leitura a informações com privilégios superiores sob condições específicas. Isso ocorre quando o modo “Autenticação LDAP apenas com autorização local” está configurado e um usuário com privilégios inferiores faz login no sistema dentro de 1 minuto após um usuário com privilégios superiores ter feito logout. O problema não afeta sistemas que utilizam os modos “Autenticação e autorização local” ou “Autenticação e autorização LDAP”.
Recomendações
Para versões anteriores à 3.08 CDI340V, atualize para a versão 3.08 CDI340V ou posterior.
Para versões anteriores à 3.01 TEI392O, atualize para a versão 3.01 TEI392O ou posterior.
Para versões anteriores à 1.71 PSI328N, atualize para a versão 1.71 PSI328N ou posterior.
Como solução alternativa temporária, considere configurar os modos “Autenticação e autorização local” ou “Autenticação e autorização LDAP” para impedir a contornamento da autorização.
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Lenovo Xclarity Controller