漏洞披露：

本公告說明外部團體曾Supermicro Supermicro 潛在漏洞Supermicro 進行聯繫。

鳴謝：

Supermicro 感謝法國Synacktiv研究團隊所做的工作，他們成功發現了Supermicro （SD5）中潛在的漏洞。

研究結果：

研究人員發現Supermicro （SD5）存在一項漏洞，可能允許任何通過驗證的網頁介面使用者，在安裝SuperDoctor5（SD5）的系統上遠端執行任意指令。

經認證的使用者可透過網頁應用程式的除錯選單編輯 log4j.properties 檔案。修改此檔案中的特定參數，將使遠端攻擊者得以在底層系統上以 root 使用者身分執行任意程式碼。

CVE：

• CVE：CVE-2023-26795
• 嚴重性：高
• 發現：外部

受影響產品：

Supermicro (SD5) 版本 5.13.0

解決方案：

Supermicro 版本 5.14.0，其中包含此漏洞的修補程式。最新版本 5.16.0 於 2022 年 12 月 5 日發布，同樣包含此修補程式。

資源：

您可從以下網址下載最新版本：

• https://www.supermicro.com/en/support/resources/downloadcenter/smsdownload

CVE：

• CVE-2023-26795