Divulgation de la vulnérabilité :
Cette divulgation indique qu'un groupe externe a contacté Supermicro une vulnérabilité potentielle des Supermicro .
Remerciements :
Supermicro à saluer le travail accompli par les chercheurs de Synacktiv, basés en France, qui ont découvert une vulnérabilité potentielle dans Supermicro (SD5).
Les résultats :
Des chercheurs ont identifié une vulnérabilité dans Supermicro (SD5) qui pourrait permettre à tout utilisateur authentifié sur l'interface Web d'exécuter à distance des commandes arbitraires sur le système où SuperDoctor5 (SD5) est installé.
Un utilisateur authentifié peut éditer le fichier log4j.properties via le menu de débogage de l'application web. La modification de paramètres spécifiques dans ce fichier permet à un attaquant distant d'exécuter du code arbitraire sur le système sous-jacent, en tant qu'utilisateur root.
CVE :
- CVE: CVE-2023-26795
- Gravité: élevée
- Trouvé: Extérieurement
Produits concernés :
Supermicro (SD5) version 5.13.0
Solution :
Supermicro la version 5.14.0 qui contient le correctif pour cette vulnérabilité. La dernière version 5.16.0 publiée le 12-05-2022 contient également le correctif.
Ressources :
Vous pouvez télécharger la dernière version à partir de :
CVE :