安全公告LEN-44717：早期 System x IMM2 中的 XSS 漏洞-联想乐享知识库

安全公告LEN-44717：早期 System x IMM2 中的 XSS 漏洞 分类:小新系列 问题:漏洞与防护 故障现象: Lenovo 安全公告：LEN-44717 潜在影响：执行代码 严重性：中 影响范围：Lenovo 特有的产品 CVE ID：CVE-2020-8340 摘要描述： 内部安全审查期间，在早期 IBM 和 Lenovo System x IMM2（Integrated Management Module 2）嵌入式基板管理控制器（BMC）Web 界面中发现跨站点脚本（XSS）漏洞。如果用户被说服访问精心制作的 URL（可能是通过网络钓鱼），则此漏洞可能允许在用户的 Web 浏览器中执行 JavaScript 代码。 要成功地实现攻击，需要在精心制作的 URL 中融入有关用户网络的具体知识。影响仅限于单击精心制作的 URL 的用户正常访问限制和权限，并且受以下限制：用户能够连接到 IMM2 或其他系统并且经过相关认证。不会在 IMM2 上执行 JavaScript 代码。解决方案: 应采取哪些措施进行自我保护： 对于以下 System x 产品，升级到 IMM2 固件版本 5.60（或更高版本）。 - x240，机器类型：7162、2588 - x440，机器类型：7167、2590 - x3750 M4，机器类型：8753 - x3250 M6，机器类型：3633、3943 - nx360 M5，机器类型：5465、5467 - x280/x480/x880 X6，机器类型：7196、4258 - x3850 X6 和 x3950 X6，机器类型：6241 - x3550 M5，机器类型：5463、8869 - x3650 M5，机器类型：5462、8871 - x3500 M5，机器类型：5464、5478 修订历史： 要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。 最新信息请关注 Lenovo 发布的关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。