Lenovo 安全公告：LEN-24785

潜在影响：执行代码

严重性：高

影响范围：Lenovo 特有的产品

CVE ID：CVE-2019-6159

摘要描述：

早期 IBM System x IMM（IMM v1）嵌入式基板管理控制器（BMC）中存在存储的跨站点脚本（XSS）漏洞。此漏洞可能允许未经身份验证的用户将 JavaScript 代码存储在 IMM 日志中，然后在查看包含 JavaScript 代码的 IMM 日志记录时，可以在用户的 Web 浏览器中执行该代码。不会在 IMM 上执行 JavaScript 代码。后期 IMM2（IMM v2）不会受到影响。

应采取哪些措施进行自我保护：

IMM（IMM v1）即将停止支持，因此修补程序无法处理该漏洞。

要缓解此漏洞的危害，用户应：

• 仅在受信任的网络上访问 IMM Web 界面。


• 禁用 Web 浏览器中的 JavaScript 后，通过 SSH 会话或 IMM Web 界面查看 IMM 日志。


• 将 IMM 日志发送到不提供 JavaScript 的日志管理系统。

致谢：

Lenovo 谨对报告此问题的 Christopher Arnold 表示感谢。

产品影响：

BladeCenter HS22

BladeCenter HS22V

BladeCenter HX5

System x iDataPlex dx360 M2

System x iDataPlex dx360 M3

System x3400 M3

System x3500 M2

System x3500 M3

System x3550 M3

System x3560 M2

System x3630 M3

System x3650 M3

System x3690 X5

System x3850 X5

System x3950 X5