Vulnerability Name:

CVE-2021-3473 (CCN-199847)

Assigned:2021-04-13
Published:2021-04-13
Updated:2021-04-23
Summary:An internal product security audit of Lenovo XClarity Controller (XCC) discovered that the XCC configuration backup/restore password may be written to an internal XCC log buffer if Lenovo XClarity Administrator (LXCA) is used to perform the backup/restore. The backup/restore password typically exists in this internal log buffer for less than 10 minutes before being overwritten. Generating an FFDC service log will include the log buffer contents, including the backup/restore password if present. The FFDC service log is only generated when requested by a privileged XCC user and it is only accessible to the privileged XCC user that requested the file. The backup/restore password is not captured if the backup/restore is initiated directly from XCC.
CVSS v3 Severity:4.9 Medium (CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N)
4.3 Medium (Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C)
Exploitability Metrics:Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): High
User Interaction (UI): None
Scope:Scope (S): Unchanged
Impact Metrics:Confidentiality (C): High
Integrity (I): None
Availibility (A): None
4.4 Medium (CCN CVSS v3.1 Vector: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N)
3.9 Low (CCN Temporal CVSS v3.1 Vector: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C)
Exploitability Metrics:Attack Vector (AV): Local
Attack Complexity (AC): Low
Privileges Required (PR): High
User Interaction (UI): None
Scope:Scope (S): Unchanged
Impact Metrics:Confidentiality (C): High
Integrity (I): None
Availibility (A): None
CVSS v2 Severity:4.0 Medium (CVSS v2 Vector: AV:N/AC:L/Au:S/C:P/I:N/A:N)
Exploitability Metrics:Access Vector (AV): Network
Access Complexity (AC): Low
Authentication (Au): Single_Instance
Impact Metrics:Confidentiality (C): Partial
Integrity (I): None
Availibility (A): None
4.6 Medium (CCN CVSS v2 Vector: AV:L/AC:L/Au:S/C:C/I:N/A:N)
Exploitability Metrics:Access Vector (AV): Local
Access Complexity (AC): Low
Athentication (Au): Single_Instance
Impact Metrics:Confidentiality (C): Complete
Integrity (I): None
Availibility (A): None
Vulnerability Type:CWE-312
Vulnerability Consequences:Obtain Information
References:Source: MITRE
Type: CNA
CVE-2021-3473

Source: XF
Type: UNKNOWN
lenovo-cve20213473-info-disc(199847)

Source: CCN
Type: Lenovo Security Advisory: LEN-52117
Lenovo XClarity Controller (XCC) Information Disclosure Vulnerability

Source: MISC
Type: Vendor Advisory
https://support.lenovo.com/us/en/product_security/LEN-52117

Vulnerable Configuration:Configuration 1:
  • cpe:/a:lenovo:xclarity_controller:6.00_cdi370q:*:*:*:*:*:*:*
  • AND
  • cpe:/h:lenovo:thinkagile_hx1320:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx2320:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx3320:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx3375:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx3520-g:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx3720:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx5520:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx7520:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx7820:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_mx_certified_nodes:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_vx_1u:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_vx_2u:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_vx_dense:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sr530:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sr570:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sr590:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sr630:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sr650:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_st550:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_st558:-:*:*:*:*:*:*:*

    • Configuration 2:
  • cpe:/a:lenovo:xclarity_controller:1.10_tgbt12q:*:*:*:*:*:*:*
  • AND
  • cpe:/h:lenovo:thinkagile_hx1320:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx2320:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx3320:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx3375:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx3520-g:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx3720:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx5520:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx7520:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx7820:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_mx1020:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_mx_certified_nodes:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_vx_1u:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_vx_2u:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_vx_dense:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_se350:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sr670:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sr850p:-:*:*:*:*:*:*:*

    • Configuration 3:
  • cpe:/a:lenovo:xclarity_controller:2.14_psi338i:*:*:*:*:*:*:*
  • AND
  • cpe:/h:lenovo:thinksystem_sr950:-:*:*:*:*:*:*:*

    • Configuration 4:
  • cpe:/a:lenovo:xclarity_controller:4.40_tei3b2p:*:*:*:*:*:*:*
  • AND
  • cpe:/h:lenovo:thinkagile_hx1320:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx2320:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx3320:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx3375:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx3520-g:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx3720:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx5520:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx7520:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_hx7820:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_vx_1u:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_vx_2u:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinkagile_vx_dense:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sd530:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sd650:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sn550:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sn850:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sr150:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sr158:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sr250:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sr258:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sr850:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_sr860:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_st250:-:*:*:*:*:*:*:*
  • OR cpe:/h:lenovo:thinksystem_st258:-:*:*:*:*:*:*:*

    • * Denotes that component is vulnerable
    BACK
    lenovo xclarity controller 6.00_cdi370q
    lenovo thinkagile hx1320 -
    lenovo thinkagile hx2320 -
    lenovo thinkagile hx3320 -
    lenovo thinkagile hx3375 -
    lenovo thinkagile hx3520-g -
    lenovo thinkagile hx3720 -
    lenovo thinkagile hx5520 -
    lenovo thinkagile hx7520 -
    lenovo thinkagile hx7820 -
    lenovo thinkagile mx certified nodes -
    lenovo thinkagile vx 1u -
    lenovo thinkagile vx 2u -
    lenovo thinkagile vx dense -
    lenovo thinksystem sr530 -
    lenovo thinksystem sr570 -
    lenovo thinksystem sr590 -
    lenovo thinksystem sr630 -
    lenovo thinksystem sr650 -
    lenovo thinksystem st550 -
    lenovo thinksystem st558 -
    lenovo xclarity controller 1.10_tgbt12q
    lenovo thinkagile hx1320 -
    lenovo thinkagile hx2320 -
    lenovo thinkagile hx3320 -
    lenovo thinkagile hx3375 -
    lenovo thinkagile hx3520-g -
    lenovo thinkagile hx3720 -
    lenovo thinkagile hx5520 -
    lenovo thinkagile hx7520 -
    lenovo thinkagile hx7820 -
    lenovo thinkagile mx1020 -
    lenovo thinkagile mx certified nodes -
    lenovo thinkagile vx 1u -
    lenovo thinkagile vx 2u -
    lenovo thinkagile vx dense -
    lenovo thinksystem se350 -
    lenovo thinksystem sr670 -
    lenovo thinksystem sr850p -
    lenovo xclarity controller 2.14_psi338i
    lenovo thinksystem sr950 -
    lenovo xclarity controller 4.40_tei3b2p
    lenovo thinkagile hx1320 -
    lenovo thinkagile hx2320 -
    lenovo thinkagile hx3320 -
    lenovo thinkagile hx3375 -
    lenovo thinkagile hx3520-g -
    lenovo thinkagile hx3720 -
    lenovo thinkagile hx5520 -
    lenovo thinkagile hx7520 -
    lenovo thinkagile hx7820 -
    lenovo thinkagile vx 1u -
    lenovo thinkagile vx 2u -
    lenovo thinkagile vx dense -
    lenovo thinksystem sd530 -
    lenovo thinksystem sd650 -
    lenovo thinksystem sn550 -
    lenovo thinksystem sn850 -
    lenovo thinksystem sr150 -
    lenovo thinksystem sr158 -
    lenovo thinksystem sr250 -
    lenovo thinksystem sr258 -
    lenovo thinksystem sr850 -
    lenovo thinksystem sr860 -
    lenovo thinksystem st250 -
    lenovo thinksystem st258 -