漏洞标题
N/A
漏洞描述信息
在联想ThinkPad XClarity Controller(XCC)芯片固件2021年第二季度发布中,报告了一种只读身份绕过漏洞,该漏洞影响配置在LDAP唯一身份模式下的XCC设备,并使用支持“未验证连接”(unauthenticated bind)的LDAP服务器,如微软Active Directory。在这种配置下,未验证的用户可以访问XCC设备配置,但无法更改。配置使用本地身份验证、LDAP身份验证与授权模式或支持仅“验证连接”和/或“匿名连接”的LDAP服务器则不受影响。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
A read-only authentication bypass vulnerability was reported in the Third Quarter 2021 release of Lenovo XClarity Controller (XCC) firmware affecting XCC devices configured in LDAP Authentication Only Mode and using an LDAP server that supports “unauthenticated bind”, such as Microsoft Active Directory. An unauthenticated user can gain read-only access to XCC in such a configuration, thereby allowing the XCC device configuration to be viewed but not changed. XCC devices configured to use local authentication, LDAP Authentication + Authorization Mode, or LDAP servers that support only “authenticated bind” and/or “anonymous bind” are not affected.
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
漏洞类别
授权机制不正确
漏洞标题
Lenovo XClarity Controller 安全漏洞
漏洞描述信息
Lenovo XClarity Controller(XCC)是中国联想(Lenovo)公司的一款服务器嵌入式管理引擎,它主要用于标准化和自动化基础服务器管理任务。 Lenovo XClarity Controller存在安全漏洞,该漏洞源于该漏洞影响在 LDAP 身份验证模式下配置并使用支持“未经身份验证绑定”的 LDAP 服务器(例如 Microsoft Active Directory)的 XCC 设备。未经身份验证的用户可以在此类配置中获得对 XCC 的只读访问权限,从而允许查看但不能更改 XCC
CVSS信息
N/A
漏洞类别
其他