Lenovo

Source: Cybernews (18.08.2025). Des chercheurs de Cybernews ont découvert des vulnérabilités critiques dans l’implémentation du chatbot IA « Lena » de Lenovo (propulsé par GPT‑4), permettant des attaques de type Cross‑Site Scripting (XSS) déclenchées par un simple prompt et pouvant mener au vol de cookies de session, à l’exécution de scripts non autorisés sur des machines de l’entreprise et potentiellement à une compromission de la plateforme de support client. ⚠️ Points clés: les failles proviennent d’une sanitisation insuffisante des entrées utilisateur et des sorties du chatbot, de l’absence de vérification par le serveur web du contenu produit par le chatbot, de l’exécution de code non vérifié et du chargement de ressources web arbitraires. Cybernews a divulgué de manière responsable; Lenovo a accusé réception et a protégé ses systèmes. ...

Cet article de blog met en lumière une vulnérabilité sur les machines Lenovo liée à un fichier MFGSTAT.zip situé dans le dossier Windows, qui est accessible en écriture par tout utilisateur authentifié. La découverte a été faite à l’aide d’un script accesschk, révélant que ce fichier pouvait être exploité pour contourner les règles AppLocker par défaut. Un utilisateur standard peut ajouter le contenu d’un fichier binaire dans un flux de données alternatif et l’exécuter, ce qui constitue un bypass potentiel de sécurité. ...