漏洞披露：

本揭露說明某外部團體已聯繫 Supermicro，告知 Supermicro 產品的潛在漏洞。

鳴謝：

Supermicro 謹此感謝來自法國 Synacktiv 的研究人員所做的工作，發現 Supermicro SuperDoctor5 (SD5) 中的潛在漏洞。

研究結果：

研究人員已發現 Supermicro SuperDoctor5 (SD5) 中的一個漏洞，該漏洞可能允許網頁介面上的任何已驗證使用者在安裝 SuperDoctor5 (SD5) 的系統上遠端執行任意指令。

經認證的使用者可透過網頁應用程式的除錯選單編輯 log4j.properties 檔案。修改此檔案中的特定參數，將使遠端攻擊者得以在底層系統上以 root 使用者身分執行任意程式碼。

CVE：

• CVE：CVE-2023-26795
• 嚴重性：高
• 發現：外部

受影響產品：

Supermicro SuperDoctor5 (SD5) 版本 5.13.0

解決方案：

Supermicro 發布了 5.14.0 版，其中包含此漏洞的修復程式。於 2022 年 12 月 5 日發布的最新 5.16.0 版也包含此修復程式。

資源：

您可從以下網址下載最新版本：

• https://www.supermicro.com/en/support/resources/downloadcenter/smsdownload

CVE：

• CVE-2023-26795