Lenovo 安全公告：LEN-22168

潜在影响：权限提升

严重性：严重

影响范围：Lenovo 特有的产品

CVE ID：CVE-2018-9064、CVE-2018-9065、CVE-2018-9066

摘要描述：

Lenovo 在一次内部产品安全审核中发现了 XClarity Administrator （LXCA） Web API 中的访问控制漏洞。已认证的 LXCA 用户可能会滥用 Web API 调用来检索 System Manager 用户的凭证，将其他参数插入特定 Web API 调用，从而在 LXCA 底层操作系统中以特权执行命令，或在少数情况下，检索之前受该 LXCA 实例管理的服务器的服务处理器用户名和密码。

应采取哪些措施进行自我保护：

将 LXCA 更新至最新版本 2.1.0 或更高版本。