Plataforma
other
Componente
lenovo-tablets-control-center
Corregido en
17.0.284
17.0.284
17.0.254
17.0.084
17.0.254
ZUI_17.0.04.266_ST_251120
17.0.10.118
17.0.10.098
17.5.10.023
TB301FU_USR_S000126_250919_MP1V1111_ROW
TB301XU_USR_S000147_250919_MP1V1111_ROW
17.5.184
16.0.882
TB300XU_USR_S100149_250919_MP1V1111_ROW
TB300FU_USR_S100122_250919_MP1V1111_ROW
TB310XU_USR_S000913_2510021921_mp1V969_ROW
TB310FU_USR_S000912_2510022135_mp1V969_ROW
TB350FU_USER_S231044_2601050946
TB350XU_USER_S231018_2601050930
17.0.267
17.0.267
17.0.10.250
17.0.10.242
17.5.10.036
17.0.10.541
17.0.10.541
17.0.30.303
17.0.31.259
17.5.10.031
17.0.339
17.5.10.041
Se ha reportado una vulnerabilidad de falta de autenticación en algunos Lenovo Tablets Control Center. Esta falla permite a un usuario no autorizado con acceso físico modificar la configuración de la aplicación, incluso cuando el dispositivo está bloqueado, siempre y cuando la opción 'Permitir acceso a Control Center cuando está bloqueado' esté desactivada. La vulnerabilidad afecta a versiones de ZUI hasta 17.0.04.266ST251120 y ha sido solucionada en la versión ZUI17.0.04.266ST_251120.
El impacto principal de esta vulnerabilidad radica en la posibilidad de que un atacante con acceso físico al dispositivo modifique la configuración del Control Center sin necesidad de autenticación. Esto podría incluir la alteración de ajustes de seguridad, la instalación de aplicaciones maliciosas o la modificación de la configuración del sistema. Aunque la vulnerabilidad requiere acceso físico, esto la convierte en una preocupación para entornos donde los dispositivos son susceptibles a robo o manipulación física. La falta de autenticación facilita la explotación, reduciendo la barrera de entrada para un atacante.
La vulnerabilidad CVE-2025-14058 se publicó el 14 de enero de 2026. Actualmente no se dispone de información sobre explotación activa o la existencia de pruebas de concepto públicas. La evaluación de CVSS es LOW, lo que indica una probabilidad de explotación relativamente baja, aunque la necesidad de acceso físico limita su alcance. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations deploying Lenovo Tablets in environments with potential for physical theft or unauthorized access are at risk. This includes businesses, schools, and healthcare facilities where tablets are used by multiple users or are frequently transported. Users who have disabled the 'Allow Control Center access when locked' option are particularly vulnerable.
disclosure
Estado del Exploit
EPSS
0.04% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el Lenovo Tablets Control Center a la versión ZUI17.0.04.266ST_251120 o posterior. Si la actualización no es inmediatamente posible, se recomienda deshabilitar la opción 'Permitir acceso a Control Center cuando está bloqueado' en la configuración del dispositivo. Aunque esto limita la accesibilidad a la aplicación cuando el dispositivo está bloqueado, reduce significativamente el riesgo de explotación. Además, se recomienda implementar políticas de seguridad física para proteger los dispositivos contra acceso no autorizado.
Actualice su tableta Lenovo a la última versión del sistema operativo disponible. Asegúrese de que la opción 'Permitir acceso al Centro de Control cuando está bloqueado' esté habilitada solo si es necesario y comprenda los riesgos. Consulte el aviso de seguridad de Lenovo para obtener más detalles e instrucciones específicas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14058 is a security vulnerability affecting Lenovo Tablets Control Center allowing unauthorized modification of settings with physical access if 'Allow Control Center access when locked' is disabled. It has a LOW severity rating.
You are affected if you use Lenovo Tablets running versions 0–ZUI17.0.04.266ST_251120 and have the 'Allow Control Center access when locked' option disabled.
Upgrade your Lenovo Tablet to ZUI17.0.04.266ST_251120 or later. As a temporary workaround, enable the 'Allow Control Center access when locked' option.
There is currently no evidence of active exploitation of CVE-2025-14058, but the possibility remains.
Please refer to the official Lenovo security advisories on their website for the most up-to-date information regarding CVE-2025-14058.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.