关键漏洞信息 漏洞编号: INSYDE-SA-2025007 产品: InsydeH2O CVSS 评分: 6.0 - 8.2 原始发布日期: 2025-07-29 最后修订日期: 2025-07-29 摘要 在OEM特定功能中发现的漏洞。 漏洞详情 以下漏洞是在专门为Lenovo开发的代码中发现的。更多详细信息请参阅Lenovo产品安全公告页面:https://support.lenovo.com/us/en/product_security/home 1. CVE-2025-4421 - CVSS: 8.2 - 描述: 在SMM模块中的eIsmServices::geISmmCpuProtocol函数存在越界写入问题,导致SMM内存损坏漏洞。 2. CVE-2025-4422 - CVSS: 8.2 - 描述: 在SMM模块中的eIsmServices::EFiPcdProtocol函数存在越界写入问题,导致SMM内存损坏漏洞。 3. CVE-2025-4423 - CVSS: 8.2 - 描述: SMM模块中的SetupAutomationSmm函数允许攻击者写入任意代码,导致内存损坏。 4. CVE-2025-4424 - CVSS: 6.0 - 描述: SetupAutomationSmm函数在SMI处理程序中调用ShimSetVariable时使用未验证的参数,导致输入验证不当。 5. CVE-2025-4425 - CVSS: 8.2 - 描述: SetupAutomationSmm函数在SMI处理程序中存在栈溢出漏洞。 6. CVE-2025-4426 - CVSS: 6.0 - 描述: SMM模块中的SMRAM内存内容泄露/信息泄露漏洞。 解决方案信息 Lenovo特性版本: L05.05.40.011803.172079 致谢 感谢BINARLY研究团队和第三方研究人员报告这些漏洞并参与协调披露。