Lenovo 安全公告：LEN-24224

潜在影响：权限提升

严重性：高

影响范围：Lenovo 特有的产品

CVE ID：CVE-2018-9074、CVE-2018-9075、CVE-2018-9076、CVE-2018-9077、CVE-2018-9078、CVE-2018-9079、CVE-2018-9080、CVE-2018-9081、CVE-2018-9082

摘要描述： 退市的 Iomega 和 LenovoEMC NAS 产品的 Web UI 中存在多个安全缺陷。其中的部分缺陷如果被通过认证的用户综合利用可能会破解 NAS 设备。其他缺陷可能会让授权用户的 Web 浏览器执行恶意 JavaScript 内容或链接（如果用户访问了该恶意 JavaScript 内容或点击了链接）。此外，其未实现设置新密码前先验证旧密码的最佳实践。

应采取哪些措施进行自我保护：

更新到“产品影响”部分中针对您的系统列出的固件级别（或更高级别）。

如果不能立即更新固件，可通过删除任何公共共享内容、只在受信任的网络上使用设备，以及只点击可信来源的设备 URL 来获得部分保护。

产品影响：

运行固件版本 4.1.402.34662 及更早版本时，以下产品易受影响。请转至 https://download.lenovo.com/lenovoemc/na/en/ 为您的型号下载固件版本 4.1.404.34716（或更高版本）：

Iomega

StorCenter px12-450r

StorCenter px12-400r

StorCenter px4-300r

StorCenter px6-300d

StorCenter px4-300d

StorCenter px2-300d

StorCenter ix4-300d

StorCenter ix2/ix2-dl

EZ Media & Backup Center

LenovoEMC

px12-450r

px12-400r

px4-400r

px4-300r

px6-300d

px4-400d

px4-300d

px2-300d

Lenovo

ix4-300d

ix2

EZ Media & Backup Center