脆弱性の開示

この開示は、外部団体がSupermicro に潜在的な脆弱性Supermicro 連絡したことを伝えています。

謝辞

Supermicro would like to acknowledge the work done by the researchers from Synacktiv based in the France for discovering a potential vulnerability in Supermicro SuperDoctor5 (SD5).

調査結果

研究者により、Supermicro （SD5）に脆弱性が確認されました。この脆弱性により、Webインターフェース上で認証された任意のユーザーが、SuperDoctor5（SD5）がインストールされているシステム上で、リモートから任意のコマンドを実行できる可能性があります。

認証されたユーザは、ウェブ・アプリケーションのデバッグ・メニューを通して log4j.properties ファイルを編集することができます。このファイルの特定のパラメータを変更することで、リモートの攻撃者は、ルート・ユーザとして、基礎となるシステム上で任意のコードを実行することができます。

CVE：

• CVE: CVE-2023-26795
• 深刻度：高
• 発見外部

影響を受ける製品

Supermicro SuperDoctor5 (SD5) version 5.13.0

解決策

Supermicro released version 5.14.0 that contains the fix to this vulnerability. The latest version 5.16.0 released on 12-05-2022 also contains the fix.

リソース

最新版は以下からダウンロードできます：

• https://www.supermicro.com/en/support/resources/downloadcenter/smsdownload

CVE：

• 26795