Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en las contraseñas opcionales para los reenviadores Syslog y SMTP en una auditoría de seguridad de producto interna de LXCO (CVE-2020-8356)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-319 Transmisión de información sensible en texto claro
Fecha de publicación:
09/03/2021
Última modificación:
15/03/2021

Descripción

Una auditoría de seguridad de producto interna de LXCO, versiones anteriores a 1.2.2, detectó que las contraseñas opcionales, si se especifican, para los reenviadores Syslog y SMTP son escritas en un archivo de registro interno de LXCO en texto sin cifrar. Unos registros afectados son capturados en el registro del servicio First Failure Data Capture (FFDC). El registro de servicio FFDC solo se genera cuando lo pide un usuario LXCO privilegiado y solo es accesible para el usuario LXCO privilegiado que pidió el archivo

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:lenovo:xclarity_orchestrator:*:*:*:*:*:*:*:* 1.2.2 (excluyendo)


Referencias a soluciones, herramientas e información