Supermicro 固件中的漏洞,2026年6月
漏洞披露:
本披露旨在通报外部研究人员报告的、影响 Supermicro 产品的潜在漏洞。
致谢:
Supermicro 感谢 Coreweave 红队以及 Coreweave 的 Hoang Bui,感谢他们发现Supermicro 固件中存在的一个潜在漏洞。
摘要
已在部分Supermicro 发现一个安全问题。该问题影响Supermicro 固件。
| CVE ID | 严重性 | 问题类型 | 说明 |
|---|---|---|---|
| 高 | 命令注入 | 攻击者可能获取管理员权限,并将经过特殊构造的字符注入到 SMTP 服务配置中。这可能会导致底层系统在调用进程时执行非预期的命令。 潜在影响包括拒绝服务攻击、任意代码执行或控制器遭到永久性入侵。 7.2 CVSS:3.1/AV:无/AC:低/PR:高/UI:无/S:低/C:高/I:高/A:高 |
受影响的产品:
CVE-2025-12006
| 主板 | BMC固件版本(含修复程序) |
|---|---|
| MBD-X14DBM-AP | 01.07.00.11 |
| MBD-BH4SRG | 01.08.11 |
| MBD-B4SA1-CPU | 01.08.11 |
| MBD-B4SC1-CPU | 01.08.11 |
| MBD-X14SBGM | 01.06.00.11 |
| MBD-X14DBG-MAP | 01.06.00.11 |
| MBD-G2DMH-GI | 01.06.00.11 |
| MBD-B3SD1-20C-25G | 01.11.11 |
| MBD-X14SBHM | 01.06.00.11 |
| MBD-B14DBE | 01.06.00.11 |
| MBD-B14SBE-CPU-25G | 01.06.00.11 |
| MBD-B14DBT | 01.06.00.11 |
| MBD-X14DBG-GD | 01.06.00.11 |
| MBD-X14DBG-XAP | 01.06.00.11 |
| MBD-X14SBT-GAP | 01.06.00.11 |
| MBD-X14SBT-G | 01.06.00.11 |
| MBD-H14DST-F | 01.07.00.11 |
| MBD-H14DST-FL | 01.07.00.11 |
| MBD-X14DBG-LC+ | 01.07.00.11 |
| MBD-X14DBG-LC | 01.07.00.11 |
| MBD-H14DSG-OD | 01.07.00.11 |
| MBD-H14DSG-OM | 01.07.00.11 |
| MBD-B14SBE-CPU-AP | 01.06.00.11 |
补救措施:
所有受影响的Supermicro主板SKU都将需要进行BMC更新,以缓解这些潜在漏洞。
已创建更新的BMC固件以缓解这些潜在漏洞。Supermicro目前正在测试和验证受影响的产品。请查阅发行说明以获取解决方案。
开发和公告:
Supermicro 尚未发现这些漏洞在实际环境中被恶意利用的案例。