SMTP 通知中的外壳注入
漏洞披露:
本次漏洞披露的目的是为了告知可能影响系统的潜在漏洞Supermicro 由外部研究人员报告的产品。
致谢:
Supermicro 在此感谢德国研究人员发现了 H12SSL-NT 主板中的潜在漏洞。
调查结果
选定的漏洞supermicro 该漏洞可能影响 SMTP 通知配置。未经身份验证的恶意攻击者可能利用此漏洞控制用户输入,例如警报设置中的主题,从而导致任意代码执行。
CVE:
- CVE-2023-35861
- 严重性:高
受影响的产品:
Supermicro 选定的 BMC X12 , X13 , 和H12 , H13 主板。
解决方案:
- 所有受影响的人Supermicro 主板 SKU 需要进行 BMC 更新以缓解此潜在漏洞。
- 为了缓解这一潜在漏洞,我们开发了更新后的BMC固件。 Supermicro 目前正在对受影响的产品进行测试和验证。请查看发行说明以了解解决方案。