安全公告：LEN-27805 LXCA 和 LXCI 不充分输入验证-联想乐享知识库

安全公告：LEN-27805 LXCA 和 LXCI 不充分输入验证 问题:漏洞与防护 故障现象: Lenovo 安全公告：LEN-27805 潜在影响：信息泄露、执行代码 严重性：中 影响范围：Lenovo 特有的产品 CVE ID：CVE-2019-6179、CVE-2019-6180、CVE-2019-6181、CVE-2019-6182 摘要描述： Lenovo XClarity Administrator（LXCA）和 Lenovo XClarity Integrator（LXCI）中报告的漏洞可能允许信息泄露或代码执行 CVE-2019-6179 据报告，Lenovo XClarity Administrator（LXCA）和 Lenovo XClarity Integrator（LXCI）中存在 XML External Entity（XXE）处理漏洞，该漏洞可能允许信息泄露。 CVE-2019-6180 据报告，Lenovo XClarity Administrator（LXCA）中存在存储的跨站点脚本（XSS）漏洞，该漏洞可能允许管理用户将 JavaScript 代码存储在 LXCA 中，然后可以在用户的 Web 浏览器中执行。不会在 LXCA 上执行 JavaScript 代码。 CVE-2019-6181 据报告，Lenovo XClarity Administrator（LXCA）中存在反射型跨站点脚本（XSS）漏洞，该漏洞可能允许精心制作的 URL（如果已访问）在用户的 Web 浏览器中执行 JavaScript 代码。不会在 LXCA 上执行 JavaScript 代码。 CVE-2019-6182 据报告，Lenovo XClarity Administrator（LXCA）中存在存储的 CSV 注入漏洞，该漏洞可能允许管理用户在 LXCA 作业和事件日志数据中存储格式错误的数据，这可能导致精心制作的公式存储在导出的 CSV 文件中。不会在 LXCA 上执行精心制作的公式。解决方案: 应采取哪些措施进行自我保护： 将 LXCA 更新至版本 2.5.0 或更高版本。 将适用于 Microsoft System Center 的 LXCI 更新至版本 7.7.0 或更高版本。 将适用于 VMware vCenter 的 LXCI 更新至版本 6.1.0 或更高版本。