Lenovo 安全公告：LEN-73439

潜在影响：信息泄露、权限提升、命令注入

严重性：高

影响范围：Lenovo 特有的产品

CVE ID：CVE-2021-42848、CVE-2021-42849、CVE-2021-42850、CVE-2021-42851、CVE-2021-42852

摘要描述：

Lenovo Personal Cloud Storage 设备中报告了以下漏洞。

CVE-2021-42848：Lenovo Personal Cloud Storage 设备中报告了一个信息泄露漏洞，该漏洞可能允许未经认证的用户检索设备和网络详细信息。

CVE-2021-42849：Lenovo Personal Cloud Storage 设备中报告了串口具有弱默认密码，可能允许未经授权的攻击者对设备进行物理访问。

CVE-2021-42850：Lenovo Personal Cloud Storage 设备中报告了 Web 界面和串口具有弱默认管理员密码，可能允许未经授权的攻击者物理访问或通过本地网络访问设备。

CVE-2021-42851：Lenovo Personal Cloud Storage 设备中报告了一个漏洞，该漏洞可能允许未经认证的用户创建标准用户帐户。

CVE-2021-42852：Lenovo Personal Cloud Storage 设备中报告了一个命令注入漏洞，该漏洞可能允许经过认证的用户通过向设备发送伪造的数据包来执行操作系统命令。

针对客户的缓解策略（应采取哪些措施进行自我保护）：

更新到以下产品表格中列出的 Lenovo Personal Cloud Storage 设备固件版本。

致谢：

Lenovo 谨对报告上述问题的 Kais 和 KT（来自 360 Vulcan Team）表示感谢。 

修订历史：