nextscale_n1200_enclosure_firmware 安全漏洞 (CVE-2023-2993)

CVE编号

CVE-2023-2993

利用情况

暂无

补丁情况

N/A

披露时间

2023-06-27

漏洞描述

A valid, authenticated user with limited privileges may be able to use specifically crafted web management server API calls to execute a limited number of commands on SMM v1, SMM v2, and FPC that the user does not normally have sufficient privileges to execute.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://support.lenovo.com/us/en/product_security/LEN-127357

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	lenovo	nextscale_n1200_enclosure_firmware	*		Up to (excluding) fhet60b-3.40
	运行在以下环境
	系统	lenovo	thinkagile_cp-cb-10e_firmware	*		Up to (excluding) tesm38c-1.26
	运行在以下环境
	系统	lenovo	thinkagile_cp-cb-10_firmware	*		Up to (excluding) tesm38c-1.26
	运行在以下环境
	系统	lenovo	thinkagile_hx_enclosure_certified_node_firmware	*		Up to (excluding) tesm38c-1.26
	运行在以下环境
	系统	lenovo	thinkagile_vx_enclosure_firmware	*		Up to (excluding) tesm38c-1.26
	运行在以下环境
	系统	lenovo	thinksystem_d2_enclosure_firmware	*		Up to (excluding) tesm38c-1.26
	运行在以下环境
	系统	lenovo	thinksystem_da240_enclosure_firmware	*		Up to (excluding) umsm10s-1.07
	运行在以下环境
	系统	lenovo	thinksystem_dw612_enclosure_firmware	*		Up to (excluding) umsm10s-1.07
	运行在以下环境
	硬件	lenovo	nextscale_n1200_enclosure	-	-
	运行在以下环境
	硬件	lenovo	thinkagile_cp-cb-10	-	-
	运行在以下环境
	硬件	lenovo	thinkagile_cp-cb-10e	-	-
	运行在以下环境
	硬件	lenovo	thinkagile_hx_enclosure_certified_node	-	-
	运行在以下环境
	硬件	lenovo	thinkagile_vx_enclosure	-	-
	运行在以下环境
	硬件	lenovo	thinksystem_d2_enclosure	-	-
	运行在以下环境
	硬件	lenovo	thinksystem_da240_enclosure	-	-
	运行在以下环境
	硬件	lenovo	thinksystem_dw612_enclosure	-	-

CVSS3评分 6.3

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 无
• 可用性 低
• 保密性 低
• 完整性 低

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

CWE-ID	漏洞类型
CWE-281	权限预留不恰当

Exp相关链接

- avd.aliyun.com