Lenovo 安全公告：LEN-29477

潜在影响：信息泄露、执行代码

严重性：中

影响范围：Lenovo 特有的产品

CVE ID：CVE-2019-6193、CVE-2019-6194、CVE-2019-19757

摘要描述：

CVE-2019-6193：Lenovo XClarity Administrator（LXCA）中报告了一个信息泄露漏洞，可能允许未经认证的用户访问某些配置文件，其中可能包含用户名、许可证密钥、IP 地址和加密密码哈希。

CVE-2019-6194：Lenovo XClarity Administrator（LXCA）中报告了一个 XML External Entity（XXE）处理漏洞，可能造成信息泄露。

CVE-2019-19757：Lenovo XClarity Administrator（LXCA）的内部产品安全审核发现了一个基于文档对象模型（DOM）的跨站点脚本漏洞，如果用户访问了特制链接，该漏洞可能允许在其 Web 浏览器中执行 JavaScript 代码。JavaScript 代码将在用户系统上执行，而非 LXCA 上。

应采取哪些措施进行自我保护：

将 LXCA 更新至版本 2.6.6 或更高版本。

安装说明：您需要升级至 LXCA 2.6.0，方能安装最新修复程序捆绑文件（版本 2.6.6）。

参考资料：

LXCA 2.6.6 修复程序捆绑文件：https://datacentersupport.lenovo.com/us/en/solutions/HT509677

LXCA 更新：https://support.lenovo.com/us/en/solutions/lnvo-lxcaupd