Divulgation des vulnérabilités :
Cette communication indique qu'un groupe externe a pris contact Supermicro concernant la vulnérabilité potentielle de Supermicro produits.
Reconnaissance:
Supermicro Nous tenons à saluer le travail accompli par les chercheurs de Synacktiv, basés en France, pour la découverte d'une vulnérabilité potentielle dans Supermicro SuperDoctor5 ( SD5 ).
Résultats:
Des chercheurs ont identifié une vulnérabilité dans Supermicro SuperDoctor5 ( SD5 ) qui peut permettre à tout utilisateur authentifié sur l'interface web d'exécuter à distance des commandes arbitraires sur le système où SuperDoctor5 ( SD5 ) est installé.
Un utilisateur authentifié peut modifier le fichier log4j.properties via le menu de débogage de l'application web. La modification de certains paramètres de ce fichier permet à un attaquant distant d'exécuter du code arbitraire sur le système sous-jacent, en tant qu'utilisateur root.
CVE :
- CVE : CVE-2023-26795
- Gravité : Élevée
- Trouvé : Externe
Produits concernés :
Supermicro SuperDoctor5 ( SD5 ) version 5.13.0
Solution:
Supermicro La version 5.14.0, qui corrige cette vulnérabilité, a été publiée. La dernière version, la 5.16.0, publiée le 12 mai 2022, intègre également ce correctif.
Ressources:
Vous pouvez télécharger la dernière version depuis :
CVE :