PT-2024-3580 · Lenovo · Lenovo Cp-Cb-10+3
Publicado
2024-04-09
·
Atualizado
2024-04-15
·
CVE-2023-4856
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Lenovo ThinkSystem, ThinkAgile, NeXtScale e Lenovo CP-CB-10 (versões afetadas não especificadas)
SMM/SMM2 e FPC (versões afetadas não especificadas)
Descrição
Foi identificada uma vulnerabilidade de string de formato no SMM/SMM2 e no FPC que poderia permitir que um usuário autenticado executasse comandos arbitrários em um endpoint de API específico. Esse problema existe devido à falta de medidas para neutralizar elementos especiais usados no comando do sistema operacional. A exploração da vulnerabilidade pode permitir que um invasor remoto execute comandos arbitrários.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Lenovo Cp-Cb-10
Lenovo Thinksystem
Nextscale
Thinkagile