SMTP 通知中的外壳注入
漏洞披露:
本次漏洞披露旨在通报由外部研究人员报告的、可能Supermicro 潜在漏洞。
鸣谢:
Supermicro 感谢德国研究人员在H12SSL-NT主板中发现潜在漏洞所做的工作。
调查结果
supermicro 存在的漏洞可能影响SMTP通知配置。该漏洞可能允许未经身份验证的恶意行为者操控用户输入(如警报设置中的主题字段),从而导致任意代码执行。
CVE:
- CVE-2023-35861
- 严重性:高
受影响的产品:
Supermicro 现已搭载于部分X12、X13以及H12、H13主板中。
解决方案:
- 所有受影响Supermicro 型号均需更新BMC固件以缓解此潜在漏洞。
- 已创建更新的BMC固件以缓解此潜在漏洞。Supermicro 测试和验证受影响的产品。请查阅发布说明以获取解决方案。