所属分类 > 病毒与安全 > 漏洞与防护 > 【安全公告】LEN-73439 Lenovo Personal Cloud Storage 漏洞

【安全公告】LEN-73439 Lenovo Personal Cloud Storage 漏洞

. 2021-12-03 16:38:44 | 知识编号: 200017

故障现象:

Lenovo 安全公告LEN-73439


潜在影响:信息泄露、权限提升、命令注入


严重性


影响范围:Lenovo 特有的产品


CVE IDCVE-2021-42848CVE-2021-42849CVE-2021-42850CVE-2021-42851CVE-2021-42852


 


摘要描述:


Lenovo Personal Cloud Storage 设备中报告了以下漏洞。


CVE-2021-42848Lenovo Personal Cloud Storage 设备中报告了一个信息泄露漏洞,该漏洞可能允许未经认证的用户检索设备和网络详细信息。


CVE-2021-42849Lenovo Personal Cloud Storage 设备中报告了串口具有弱默认密码,可能允许未经授权的攻击者对设备进行物理访问。


CVE-2021-42850Lenovo Personal Cloud Storage 设备中报告了 Web 界面和串口具有弱默认管理员密码,可能允许未经授权的攻击者物理访问或通过本地网络访问设备。


CVE-2021-42851Lenovo Personal Cloud Storage 设备中报告了一个漏洞,该漏洞可能允许未经认证的用户创建标准用户帐户。


CVE-2021-42852Lenovo Personal Cloud Storage 设备中报告了一个命令注入漏洞,该漏洞可能允许经过认证的用户通过向设备发送伪造的数据包来执行操作系统命令。


 


解决方案:

针对客户的缓解策略(应采取哪些措施进行自我保护):


更新到以下产品表格中列出的 Lenovo Personal Cloud Storage 设备固件版本。






























产品名称



修复固件版本



A1



5.3.6.a1



T1



5.3.6.t1



X1



5.3.8.x1



T2



5.3.8.t2



T2Pro



5.3.7.t2-pro



 


致谢:


Lenovo 谨对报告上述问题的 Kais KT(来自 360 Vulcan Team)表示感谢。 


 


修订历史:
















修订版本



日期



描述



1



2021-11-09



初始版本



 


联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。