脆弱性開示：

この開示は、外部グループが連絡を取ったことを伝えています。 Supermicro 潜在的な脆弱性についてSupermicro 製品。

了承：

Supermicro フランスに拠点を置くSynacktivの研究者による、潜在的な脆弱性の発見に関する研究に感謝の意を表します。 Supermicro スーパードクター5（ SD5 )

調査結果：

研究者たちは、 Supermicro スーパードクター5（ SD5ウェブ上の認証済みユーザーであれば誰でもインタフェース SuperDoctor5 が動作するシステム上で任意のコマンドをリモートで実行する ( SD5 ) がインストールされています。

認証済みのユーザーは、Webアプリケーションのデバッグメニューからlog4j.propertiesファイルを編集できます。このファイル内の特定のパラメータを変更すると、リモートの攻撃者がrootユーザーとして、基盤となるシステム上で任意のコードを実行できるようになります。

CVE:

• CVE ：CVE-2023-26795
• 重症度：高
• 発見場所：外部

対象製品：

Supermicro スーパードクター5（ SD5バージョン 5.13.0

ソリューション

Supermicro この脆弱性に対する修正を含むバージョン5.14.0がリリースされました。2022年5月12日にリリースされた最新バージョン5.16.0にも、この修正が含まれています。

関連資料

最新バージョンは以下からダウンロードできます。

• https://www.supermicro.com/en/support/resources/downloadcenter/smsdownload

CVE:

• CVE-2023-26795