Lenovo 安全公告：LEN-38385

潜在影响：信息泄露

严重性：中

影响范围：Lenovo 特有的产品

CVE ID：CVE-2020-8339

摘要描述：

据报告，在早期 IBM BladeCenter Advanced Management Module（AMM）Web 界面中发现跨站点脚本包含（XSSI）漏洞。如果某个经过认证的用户被说服访问恶意 Web 站点（可能是通过网络钓鱼），则此漏洞可能允许泄露该用户的 AMM 凭证。

要成功地实现攻击，需要在恶意 Web 站点中融入有关用户网络的具体知识。影响仅限于对访问恶意 Web 站点的用户的正常访问限制，并且受以下限制：用户登录到 AMM，能够在打开 Web 浏览器时同时连接到 AMM 和恶意网站，并且使用本身无法抵御此类攻击的 Web 浏览器。不会在 AMM 上执行 JavaScript 代码。

应采取哪些措施进行自我保护：

通过 IBM Fix Central 升级到 IBM BladeCenter Advanced Management Module 固件 v3.68n [BPET68N]（或更高版本）。

致谢：

Lenovo 谨对报告此问题的莫斯科国立罗蒙诺索夫大学网络安全实验室 CS 部门（SecLab@MSU）表示感谢。

修订历史：

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。

最新信息请关注 Lenovo 发布的关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。