Vulnérabilités dans Supermicro Firmware BMC, septembre 2025

Divulgation des vulnérabilités :

Le but de cette divulgation est de communiquer les vulnérabilités potentielles affectant Supermicro produits signalés par un chercheur externe.

Reconnaissance:

Supermicro Je tiens à souligner le travail accompli par l'équipe de Binarly pour la découverte de vulnérabilités potentielles dans Supermicro Firmware BMC.

Résumé:

Deux failles de sécurité ont été découvertes dans certaines parties. Supermicro cartes. Ces problèmes peuvent affecter Supermicro Firmware BMC.

CVE ID	Sévérité	Type de problème	Description
CVE-2025-7937	Haut	Vérification incorrecte de la signature cryptographique	Une image de firmware spécialement conçue peut contourner le Supermicro Logique de vérification du firmware BMC de RoT 1.0 pour la mise à jour du firmware système. L'image modifiée contient une table PDBA personnalisée de RoT 1.0 afin de rediriger le programme vers une table PDBA factice située dans la zone non signée. Supermicro Score CVSSv3 : 7,2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
CVE-2025-6198	Haut	Vérification incorrecte de la signature cryptographique	Une image de firmware spécialement conçue peut contourner le Supermicro Logique de vérification du firmware BMC de la table de signature pour la mise à jour du firmware système. L'image modifiée contient une table de signature personnalisée qui redirige le programme vers une fausse table de signature située dans la zone non signée. Supermicro Score CVSSv3 : 7,2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

CVE ID

Sévérité

Type de problème

Description

CVE-2025-7937

Haut

Vérification incorrecte de la signature cryptographique

Une image de firmware spécialement conçue peut contourner le Supermicro Logique de vérification du firmware BMC de RoT 1.0 pour la mise à jour du firmware système. L'image modifiée contient une table PDBA personnalisée de RoT 1.0 afin de rediriger le programme vers une table PDBA factice située dans la zone non signée.

Supermicro Score CVSSv3 : 7,2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

CVE-2025-6198

Haut

Vérification incorrecte de la signature cryptographique

Une image de firmware spécialement conçue peut contourner le Supermicro Logique de vérification du firmware BMC de la table de signature pour la mise à jour du firmware système. L'image modifiée contient une table de signature personnalisée qui redirige le programme vers une fausse table de signature située dans la zone non signée.

Supermicro Score CVSSv3 : 7,2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

Produits concernés :

Supermicro BMC sur certaines cartes mères.

CVE-2025-6198

CVE-2025-6198
Carte mère	BMC FW avec le correctif
MBD-B12DPT	01.07.01
MBD-B12SPE-CPU-TF	01.07.01
MBD-BH12SSI-M25	01.07.01
MBD-B12DPT-6	01.07.01
MBD-H12SSFF-AN6	01.07.01
MBD-X12DPG-OA6-GD2	01.07.01
MBD-X12DPG-OA6	01.07.01
MBD-B12DPE-6	01.07.01
MBD-B12SPE-CPU-25G	01.07.01
MBD-X12DGQ-R	01.07.01
MBD-X12DPG-QR	01.07.01
MBD-H12DSG-CPU6-TI036	01.07.01
MBD-X12STW-F	01.07.01
MBD-X12STW-TF	01.07.01
MBD-B3ST1-CPU-001	01.07.01
MBD-X13DEM	01.05.01
MBD-X13DET-B	01.05.01
MBD-X13DSF-A	01.05.01
MBD-X13SEDW-F	01.05.01
MBD-X13SEED-F	01.05.01
MBD-X13SEED-SF	01.05.01
MBD-X13SEFR-A	01.05.01
MBD-X13SEM-F	01.05.01
MBD-X13SEM-TF	01.05.01
MBD-X13SET-PT	01.05.01
MBD-X13SEVR-SP13F	01.05.01
Processeur MBD-X13OEI	01.05.01
MBD-B13DEE	01.05.01
MBD-B13DET	01.05.01
MBD-B13SEE-CPU-25G	01.05.01
MBD-B13SEG	01.05.01
Processeur MBD-B4SA1	01.05.01
Processeur MBD-B4SC1	01.05.01
MBD-H13QSH	01.05.01
MBD-H13SRH	01.05.01
MBD-H13SSF	01.05.01
MBD-H13SSH	01.05.01
MBD-G1SMH-G	01.05.01
MBD-G1SMH	01.05.01
MBD-G2DMH-G	01.05.01
MBD-G2DMH-GI	01.05.01
MBD-X13DEH	01.05.01
MBD-X13SAW-F	01.05.01
MBD-X13SAW-TLN4F	01.05.01
MBD-X13SCW-FB	01.05.01
MBD-X13SCW-FO	01.05.01
MBD-X13SCW-F	01.05.01
MBD-X14DBM-AP	01.03.00.01
MBD-X14DBM-APL	01.03.00.01
MBD-X14DBM-SP	01.03.00.01
MBD-X14DBT-B	01.03.00.01
MBD-X14DBT-FAP	01.03.00.01
MBD-X14DBT-FLAP	01.03.00.01
MBD-X14QBH+	01.03.00.01
MBD-X14SBH-AP	01.03.00.01
MBD-X14SBH	01.03.00.01
MBD-X14SBM-TF	01.03.00.01
MBD-X14SBM-TP4F	01.03.00.01
MBD-X14SDV-20C-SP3F	01.03.00.01
MBD-X14SDV-32C-SP3F	01.03.00.01
MBD-X14SDV-36C-SP3F	01.03.00.01
MBD-X14SDV-36CE-SP3F	01.03.00.01
MBD-X14SDV-42C-SP3F	01.03.00.01
MBD-X14SDW-36C-SP9F	01.03.00.01
MBD-X14SDW-36CE-SP9F	01.03.00.01
MBD-X14SDW-42C-SP9F	01.03.00.01
MBD-H13DSG-OM	01.05.01
MBD-B3SD1-20C-25G	01.07.01
MBD-X14SBHM	01.03.00.01
MBD-B14DBE-AP	01.03.00.01
MBD-B14DBE	01.03.00.01
MBD-B14DBT	01.03.00.01
MBD-B14SBE-CPU-25G	01.03.00.01
MBD-B14SBE-CPU-AP	01.03.00.01
MBD-X14DBG-GD	01.03.00.01
MBD-X14DBG-XAP	01.03.00.01
MBD-X14SBT-G	01.03.00.01
MBD-X14SBT-GAP	01.03.00.01
MBD-H14DSH-TI036	01.03.00.01
MBD-H14DST-F	01.03.00.01
MBD-H14DSG-OD	01.03.00.01
MBD-H14DSG-OM	01.03.00.01
MBD-X14DBG-MAP	01.03.00.01
MBD-X14SBGM	01.03.00.01
MBD-X14DBG-LC+	01.03.00.01
MBD-X14DBG-LC	01.03.00.01
MBD-X11DPFF-SNR	1.01.26
MBD-X11DPT-BR	1.01.26
MBB-CMM-003	01.02.04
MBM-CMM-6-01-FI005	01.02.04
MBM-CMM-FIO	01.02.04
MBB-CMM-6	01.02.04
MBM-CMM-6-01-HN004	01.02.04
MBM-CMM-FIO-01-FI005	01.02.04
MBM-CMM-6	01.02.04
MBM-CMM-6-IN001	01.02.04
MBD-X12DPT-B6	01.07.01
MBD-X12SPT-PT	1.07.01

CVE-2025-7937

CVE-2025-7937
Carte mère	BMC FW avec le correctif
MBD-X11DGQ	3.77.16
MBD-X11DPD-L	3.77.16
MBD-X11DPD-M25	3.77.16
MBD-X11DPFF-SN	3.77.16
MBD-X11DPL-I	3.77.16
MBD-X11DPS-R	3.77.16
MBD-X11DPS-RE	3.77.16
MBD-X11DPT-L	3.77.16
MBD-X11DSC+	3.77.16
MBD-X11DSF-E	3.77.16
MBD-X11DSF	3.77.16
MBD-X11SCW-F-AM047	3.77.16
MBD-X11SCW-F	3.77.16
MBD-X11SRI-IF	3.77.16
MBD-B12DPT	01.07.03
MBD-B12SPE-CPU-TF	01.07.03
MBD-BH12SSI-M25	01.07.03
MBD-B12DPT-6	01.07.03
MBD-H12SSFF-AN6	01.07.03
MBD-X12DPG-OA6-GD2	01.07.03
MBD-X12DPG-OA6	01.07.03
MBD-B12DPE-6	01.07.03
MBD-B12SPE-CPU-25G	01.07.03
MBD-X12DGQ-R	01.07.03
MBD-X12DPG-QR	01.07.03
MBD-H12DSG-CPU6-TI036	01.07.03
MBD-X12STW-F	01.07.03
MBD-X12STW-TF	01.07.03
MBD-B3ST1-CPU-001	01.07.03
MBD-X11DPFF-SNR	1.01.26
MBD-X11DPT-BR	1.01.26
MBD-X12DPT-B6	01.07.03
MBD-X12SPT-PT	1.07.01

Remédiation :

Affecté Supermicro Les références des cartes mères nécessiteront une mise à jour du BMC pour atténuer ces vulnérabilités potentielles.

Un firmware BMC mis à jour a été créé pour atténuer ces vulnérabilités potentielles. Supermicro Nous procédons actuellement à des tests et à la validation des produits concernés. Veuillez consulter les notes de version pour connaître la solution.

Exploitation et annonces publiques :

Supermicro n'a connaissance d'aucune exploitation malveillante de ces vulnérabilités en conditions réelles.

Infrastructure d'IA

Data Center Building Block Solutions® (DCBBS)

Fabrique d'IA

Edge IA

Stockage pour l'IA

Solutions d'IA pour l'industrie

Solutions NVIDIA

Solutions AMD

Solutions Intel

Solutions Arm AGI

Serveurs Rack

Processeur double

1 Processeur

Multiprocesseur

Serveurs GPU

Gamme GPU 8U/10U

Gamme GPU 4U/5U

Gamme GPU 2U

Gamme GPU 1U

Serveurs Multi-Noeuds

FlexTwin™

BigTwin®

GrandTwin®

TwinPro®

FatTwin®

Serveurs Lames

SuperBlade

MicroBlade

MicroCloud

Serveurs de stockage

Tous les systèmes de stockage

Flash NVMe

Chargement par le haut

JBOF

Stockage Petascale Grace

Stockage optimisé pour l'entreprise

Boîtiers de stockage JBOD

Cartes mères

Cartes pour serveur

Cartes pour station de travail

Cartes embarquées / IoT

Cartes pour PC de bureau / Jeux

Matrice de carte mères

SKUs mondiales

Châssis

Châssis 1U

Châssis 2U

Châssis 3U

Châssis 4U / Tour

Mid / Mini-Tour

Châssis embarqué / IoT

Racks mobiles / Kits disques

Boîtiers de stockage JBOD

SKUs mondiales

SuperRack

Service d'intégration des racks

Accessoires

Matrice des câbles

Matrice des cartes risers

Matrice des cartes de stockages AOC

Matrice des blocs alimentations

Matrice des dissipateurs thermiques

Matrice des ventilateurs

Racks mobiles / Kits disques

Façades avant du châssis

Stockage, E/S, sécurité

Systèmes d'IA et d'IoT en périphérie

Systèmes Edge compacts

Serveurs Edge compacts

Serveurs Edge montés en rack

Composants embarqués

Cartes mères embarquées

Châssis embarqué

Switches

Adaptateurs

SuperWorkstations

Plateforme de développement de l'IA à refroidissement liquide

Monoprocesseur

Double processeur

Ordinateur de bureau