Divulgación de vulnerabilidad:
Esta divulgación comunica que un grupo externo se puso en contacto con Supermicro sobre la vulnerabilidad potencial de Supermicro productos.
Reconocimiento:
Supermicro quisiera reconocer el trabajo realizado por los investigadores de Synacktiv con sede en Francia por descubrir una vulnerabilidad potencial en Supermicro SuperDoctor5 ( SD5 ).
Recomendaciones:
Los investigadores han identificado una vulnerabilidad en Supermicro SuperDoctor5 ( SD5 ) que puede permitir a cualquier usuario autenticado en la interfaz web ejecutar de forma remota comandos arbitrarios en el sistema donde SuperDoctor5 ( SD5 ) está instalado.
Un usuario autenticado puede editar el archivo log4j.properties a través del menú de depuración de la aplicación web. Modificar parámetros específicos en este archivo permite a un atacante remoto ejecutar código arbitrario en el sistema subyacente, como usuario root.
CVE:
- CVE : CVE-2023-26795
- Gravedad : Alta
- Encontrado : Externamente
Productos afectados:
Supermicro SuperDoctor5 ( SD5 ) versión 5.13.0
Solución:
Supermicro Se lanzó la versión 5.14.0 que incluye la solución a esta vulnerabilidad. La última versión, la 5.16.0, lanzada el 12 de mayo de 2022, también incluye la solución.
Recursos:
Puede descargar la última versión desde:
CVE: