Vulnerabilidad en las credenciales del Sistema Operativo Windows en el registro de servicio First Failure Data Capture (FFDC) en Lenovo XClarity Administrator (LXCA) (CVE-2020-8355)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-319
Transmisión de información sensible en texto claro
Fecha de publicación:
10/02/2021
Última modificación:
17/02/2021
Descripción
Una auditoría de seguridad de producto interno de Lenovo XClarity Administrator (LXCA) versiones anteriores a 3.1.0, detectó que las credenciales del Sistema Operativo Windows proporcionadas por el usuario de LXCA para llevar a cabo actualizaciones de controladores de sistemas administrados pueden capturarse en el registro de servicio First Failure Data Capture (FFDC) si el registro de servicio es generado mientras se actualizan los endpoints administrados. El registro de servicio solo es generado cuando lo pide un usuario LXCA privilegiado y solo es accesible para el usuario LXCA privilegiado que pidió el archivo y luego es eliminado
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:lenovo:xclarity_administrator:*:*:*:*:*:*:*:* | 3.1.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página