故障现象

Lenovo 安全公告：LEN-197020

潜在影响：机密性和完整性丧失、内存损坏、信息泄露、执行任意代码、权限提升

严重性：高

影响范围：全行业

CVE ID：CVE-2023-20599、CVE-2024-13176、CVE-2024-38796、CVE-2024-53010、CVE-2024-55567、CVE-2025-4275

摘要描述：

AMD报告了一个潜在漏洞，该漏洞可能允许拥有特权的攻击者从x86架构访问加密协处理器（CCP）寄存器。AMD-SB-7039：CVE-2023-20599

Insyde报告了Insyde BIOS中存在潜在输入验证漏洞，该漏洞可能允许执行任意代码。INSYDE-SA-2024018：CVE-2024-55567

Insyde报告了Insyde BIOS中存在潜在侧信道漏洞，该漏洞可能导致信息泄露。INSYDE-SA-2025001：CVE-2024-13176

Insyde报告了Insyde BIOS中存在潜在漏洞，该漏洞可能允许攻击者绕过签名验证并执行任意代码。INSYDE-SA-2025002：CVE-2025-4275

Qualcomm报告了Qualcomm BIOS中存在潜在的不当访问控制漏洞，该漏洞可能导致权限提升。CVE-2024-53010

Tianocore报告了EDK II BIOS中的PeCoffLoaderRelocateImage()存在整数溢出，这可能导致内存损坏。CVE-2024-38796

 

解决方案

更新到下面“产品影响”部分中所述的版本（或更高版本）。

 

产品影响：

要下载以下专为您的产品指定的版本，请执行以下步骤：

导航到您的产品的Drivers & Software（驱动程序和软件）支持站点：

• Lenovo产品（全球销售，中国除外）：https://support.lenovo.com/
• Lenovo产品（中国销售）：https://newsupport.lenovo.com.cn/
• IBM品牌的早期System x产品：https://www.ibm.com/support/fixcentral/

1. 按名称或机器类型搜索产品。
2. 单击左侧菜单面板上的Drivers & Software（驱动程序和软件）。
3. 单击Manual Update（手动更新）按组件类型浏览。
4. 将以下产品适用表中适合您的产品的最低修复版本与支持站点上发布的最新版本进行对比。

Lenovo还提供了更新管理辅助工具，可替代上述手动步骤。如需其他帮助，请参考以下资源：

PC产品和软件：https://support.lenovo.com/us/en/solutions/ht504759

服务器和企业软件：https://support.lenovo.com/us/en/solutions/lnvo-lxcaupd 和 https://datacentersupport.lenovo.com/us/en/documents/lnvo-center

 

单击下方链接查看受影响的产品：

产品	组件	CVE-2024-38796
WR5220 G3	UEFI Firmware Lenovo WenTian WR5220 G3	T8E198A-2.86 2025/4/7
DN8848 V2	UEFI Firmware Lenovo ThinkServer DN8848 V2	xwe104j-1.24 TBD
WR3220 G2	UEFI Firmware Lenovo WenTian WR3220 G2	xwe162b-1.28 2025/4/8
SR660 V2	UEFI Firmware Lenovo ThinkServer  SR660 V2	xwe112j-2.00
SE550 V2	UEFI Firmware Lenovo ThinkServer  SE550 V2	xwe174n-2.72 2025/4/21
WA5480 G3	UEFI Firmware Lenovo WenTian WA5480 G3	T8E102Z-1.80 2025/4/3
SR860P	UEFI Firmware Lenovo ThinkServer SR860P	MdePkg_43 TBD
SR590 V2	UEFI Firmware Lenovo ThinkServer SR590 V2	xwe160k-1.24 2025/7/7
WR5220 G5	UEFI Firmware Lenovo WenTian  WR5220 G5	MdePkg_43 2024/12/23
WA5480G5	UEFI Firmware Lenovo WenTian WA5480G5	MdePkg_43 2024/12/23
SR590 V2	UEFI Firmware Lenovo ThinkServer SR590 V2	xwe160k-1.24 TBD

Desktop

Desktop - All in One

Lenovo Notebook

Smart Edge

Smart Office

Storage

ThinkAgile

ThinkEdge

ThinkPad

ThinkServer

ThinkStation

ThinkSystem

 

参考资料：

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7039.html

https://www.insyde.com/security-pledge/

https://docs.qualcomm.com/product/publicresources/securitybulletin/june-2025-bulletin.html

https://github.com/tianocore/edk2/security/advisories/GHSA-xpcr-7hjq-m6qm

 

修订历史：

修订版本	日期	描述
1	2025-06-10	初始版本
2	2025-07-07	更新受影响产品范围

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。

最新信息请关注 Lenovo 关于您的设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。