Divulgation de la vulnérabilité :
Cette divulgation indique qu'un groupe externe a contacté Supermicro au sujet de la vulnérabilité potentielle des produits Supermicro .
Remerciements :
Supermicro souhaite remercier les chercheurs de Synacktiv, basés en France, qui ont découvert une vulnérabilité potentielle dans Supermicro SuperDoctor5 (SD5).
Les résultats :
Des chercheurs ont identifié une vulnérabilité dans Supermicro SuperDoctor5 (SD5) qui peut permettre à tout utilisateur authentifié sur l'interface web d'exécuter à distance des commandes arbitraires sur le système où SuperDoctor5 (SD5) est installé.
Un utilisateur authentifié peut éditer le fichier log4j.properties via le menu de débogage de l'application web. La modification de paramètres spécifiques dans ce fichier permet à un attaquant distant d'exécuter du code arbitraire sur le système sous-jacent, en tant qu'utilisateur root.
CVE :
- CVE: CVE-2023-26795
- Gravité: élevée
- Trouvé: Extérieurement
Produits concernés :
Supermicro SuperDoctor5 (SD5) version 5.13.0
Solution :
Supermicro a publié la version 5.14.0 qui contient la correction de cette vulnérabilité. La dernière version 5.16.0 publiée le 12-05-2022 contient également le correctif.
Ressources :
Vous pouvez télécharger la dernière version à partir de :
CVE :