Divulgation de la vulnérabilité :
This disclosure communicates that an external group contacted Supermicro about the potential vulnerability of Supermicro products.
Remerciements :
Supermicro would like to acknowledge the work done by the researchers from Synacktiv based in the France for discovering a potential vulnerability in Supermicro SuperDoctor5 (SD5).
Les résultats :
Des chercheurs ont identifié une vulnérabilité dans Supermicro (SD5) qui pourrait permettre à tout utilisateur authentifié sur l'interface Web d'exécuter à distance des commandes arbitraires sur le système où SuperDoctor5 (SD5) est installé.
Un utilisateur authentifié peut éditer le fichier log4j.properties via le menu de débogage de l'application web. La modification de paramètres spécifiques dans ce fichier permet à un attaquant distant d'exécuter du code arbitraire sur le système sous-jacent, en tant qu'utilisateur root.
CVE :
- CVE: CVE-2023-26795
- Gravité: élevée
- Trouvé: Extérieurement
Produits concernés :
Supermicro SuperDoctor5 (SD5) version 5.13.0
Solution :
Supermicro released version 5.14.0 that contains the fix to this vulnerability. The latest version 5.16.0 released on 12-05-2022 also contains the fix.
Ressources :
Vous pouvez télécharger la dernière version à partir de :
CVE :