漏洞披露：

本声明表明，外部团体曾Supermicro Supermicro 潜在漏洞问题Supermicro 进行过联系。

鸣谢：

Supermicro 感谢法国Synacktiv研究人员所做的工作，他们发现了Supermicro （SD5）中存在的潜在漏洞。

调查结果

研究人员发现Supermicro （SD5）存在一个漏洞，可能允许任何通过Web界面认证的用户在安装了SuperDoctor5（SD5）的系统上远程执行任意命令。

经过身份验证的用户可通过Web应用程序的调试菜单编辑log4j.properties文件。修改该文件中的特定参数后，远程攻击者能够以root用户身份在底层系统上执行任意代码。

CVE：

• CVE：CVE-2023-26795
• 严重性：高
• 发现：外部

受影响的产品：

Supermicro (SD5) 版本 5.13.0

解决方案：

Supermicro 包含此漏洞修复程序的5.14.0版本。2022年5月12日发布的最新版本5.16.0同样包含该修复程序。

资源

您可从以下地址下载最新版本：

• https://www.supermicro.com/en/support/resources/downloadcenter/smsdownload

CVE：

• CVE-2023-26795