Lenovo 安全公告：LEN-27805

潜在影响：信息泄露、执行代码

严重性：中

影响范围：Lenovo 特有的产品

CVE ID：CVE-2019-6179、CVE-2019-6180、CVE-2019-6181、CVE-2019-6182

摘要描述：

Lenovo XClarity Administrator（LXCA）和 Lenovo XClarity Integrator（LXCI）中报告的漏洞可能允许信息泄露或代码执行

CVE-2019-6179

据报告，Lenovo XClarity Administrator（LXCA）和 Lenovo XClarity Integrator（LXCI）中存在 XML External Entity（XXE）处理漏洞，该漏洞可能允许信息泄露。

CVE-2019-6180

据报告，Lenovo XClarity Administrator（LXCA）中存在存储的跨站点脚本（XSS）漏洞，该漏洞可能允许管理用户将 JavaScript 代码存储在 LXCA 中，然后可以在用户的 Web 浏览器中执行。不会在 LXCA 上执行 JavaScript 代码。

CVE-2019-6181

据报告，Lenovo XClarity Administrator（LXCA）中存在反射型跨站点脚本（XSS）漏洞，该漏洞可能允许精心制作的 URL（如果已访问）在用户的 Web 浏览器中执行 JavaScript 代码。不会在 LXCA 上执行 JavaScript 代码。

CVE-2019-6182

据报告，Lenovo XClarity Administrator（LXCA）中存在存储的 CSV 注入漏洞，该漏洞可能允许管理用户在 LXCA 作业和事件日志数据中存储格式错误的数据，这可能导致精心制作的公式存储在导出的 CSV 文件中。不会在 LXCA 上执行精心制作的公式。

应采取哪些措施进行自我保护：

将 LXCA 更新至版本 2.5.0 或更高版本。

将适用于 Microsoft System Center 的 LXCI 更新至版本 7.7.0 或更高版本。

将适用于 VMware vCenter 的 LXCI 更新至版本 6.1.0 或更高版本。