漏洞披露：

此项披露表明，外部团体已联系Supermicro 关于潜在的脆弱性Supermicro 产品。

致谢：

Supermicro 谨此感谢位于法国的 Synacktiv 公司的研究人员，他们发现了潜在的漏洞。 Supermicro SuperDoctor5（ SD5 ）。

调查结果

研究人员发现了一个漏洞Supermicro SuperDoctor5（ SD5这可能允许任何通过 Web 界面认证的用户远程执行 SuperDoctor5 所在系统的任意命令（ SD5已安装。

已认证用户可以通过 Web 应用程序的调试菜单编辑 log4j.properties 文件。修改此文件中的特定参数，即可让远程攻击者以 root 用户身份在底层系统上执行任意代码。

CVE：

• CVE ：CVE-2023-26795
• 严重性：高
• 发现于：外部

受影响的产品：

Supermicro SuperDoctor5（ SD5版本 5.13.0

解决方案：

Supermicro 已发布包含此漏洞修复程序的 5.14.0 版本。2022 年 5 月 12 日发布的最新版本 5.16.0 也包含此修复程序。

资源

您可以从以下链接下载最新版本：

• https://www.supermicro.com/en/support/resources/downloadcenter/smsdownload

CVE：

• CVE-2023-26795