Offenlegung der Sicherheitslücke:
Diese Mitteilung besagt, dass eine externe Gruppe Kontakt aufgenommen hat Supermicro über die potenzielle Verwundbarkeit von Supermicro Produkte.
Anerkennung:
Supermicro möchte die Arbeit der Forscher von Synacktiv mit Sitz in Frankreich würdigen, die eine potenzielle Schwachstelle entdeckt haben in Supermicro SuperDoctor5 ( SD5 ).
Ergebnisse:
Forscher haben eine Schwachstelle identifiziert in Supermicro SuperDoctor5 ( SD5 ) die es jedem authentifizierten Benutzer über die Weboberfläche ermöglichen kann, beliebige Befehle auf dem System, auf dem SuperDoctor5 ( SD5 ) ist installiert.
Ein authentifizierter Benutzer kann die Datei log4j.properties über das Debug-Menü der Webanwendung bearbeiten. Durch die Änderung bestimmter Parameter in dieser Datei kann ein Angreifer aus der Ferne beliebigen Code auf dem zugrunde liegenden System als Root-Benutzer ausführen.
CVE:
- CVE : CVE-2023-26795
- Schweregrad : Hoch
- Gefunden : Extern
Betroffene Produkte:
Supermicro SuperDoctor5 ( SD5 ) Version 5.13.0
Lösung:
Supermicro Version 5.14.0, die die Behebung dieser Sicherheitslücke enthält, wurde veröffentlicht. Auch die neueste Version 5.16.0, die am 12.05.2022 veröffentlicht wurde, enthält die Behebung.
Ressourcen:
Sie können die neueste Version hier herunterladen:
CVE: