Divulgation de la vulnérabilité :
Cette divulgation indique qu'un groupe externe a contacté Supermicro concernant la vulnérabilité potentielle des produits Supermicro.
Remerciements :
Supermicro tient à saluer le travail effectué par les chercheurs de Synacktiv basés en France pour la découverte d'une potentielle vulnérabilité dans Supermicro SuperDoctor5 (SD5).
Les résultats :
Des chercheurs ont identifié une vulnérabilité dans Supermicro SuperDoctor5 (SD5) qui pourrait permettre à tout utilisateur authentifié sur l'interface web d'exécuter à distance des commandes arbitraires sur le système où SuperDoctor5 (SD5) est installé.
Un utilisateur authentifié peut éditer le fichier log4j.properties via le menu de débogage de l'application web. La modification de paramètres spécifiques dans ce fichier permet à un attaquant distant d'exécuter du code arbitraire sur le système sous-jacent, en tant qu'utilisateur root.
CVE :
- CVE: CVE-2023-26795
- Gravité: élevée
- Trouvé: Extérieurement
Produits concernés :
Supermicro SuperDoctor5 (SD5) version 5.13.0
Solution :
Supermicro a publié la version 5.14.0 qui contient le correctif pour cette vulnérabilité. La dernière version 5.16.0, publiée le 12-05-2022, contient également le correctif.
Ressources :
Vous pouvez télécharger la dernière version à partir de :
CVE :