Lenovo 安全公告：LEN-44717

潜在影响：执行代码

严重性：中

影响范围：Lenovo 特有的产品

CVE ID：CVE-2020-8340

摘要描述：

内部安全审查期间，在早期 IBM 和 Lenovo System x IMM2（Integrated Management Module 2）嵌入式基板管理控制器（BMC）Web 界面中发现跨站点脚本（XSS）漏洞。如果用户被说服访问精心制作的 URL（可能是通过网络钓鱼），则此漏洞可能允许在用户的 Web 浏览器中执行 JavaScript 代码。

要成功地实现攻击，需要在精心制作的 URL 中融入有关用户网络的具体知识。影响仅限于单击精心制作的 URL 的用户正常访问限制和权限，并且受以下限制：用户能够连接到 IMM2 或其他系统并且经过相关认证。不会在 IMM2 上执行 JavaScript 代码。

应采取哪些措施进行自我保护：

对于以下 System x 产品，升级到 IMM2 固件版本 5.60（或更高版本）。

- x240，机器类型：7162、2588

- x440，机器类型：7167、2590

- x3750 M4，机器类型：8753

- x3250 M6，机器类型：3633、3943

- nx360 M5，机器类型：5465、5467

- x280/x480/x880 X6，机器类型：7196、4258

- x3850 X6 和 x3950 X6，机器类型：6241

- x3550 M5，机器类型：5463、8869

- x3650 M5，机器类型：5462、8871

- x3500 M5，机器类型：5464、5478

修订历史：

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。

最新信息请关注 Lenovo 发布的关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。