SMTP 通知中的 Shell 注入

漏洞披露：

本次漏洞披露旨在傳達由外部研究人員報告、可能影響 Supermicro 產品的潛在漏洞。

鳴謝：

Supermicro 感謝來自德國的研究人員，發現 H12SSL-NT 主機板中存在的潛在漏洞。

研究結果：

特定 Supermicro 主機板中的漏洞可能會影響 SMTP 通知配置。此漏洞可能允許未經身份驗證的惡意行為者控制使用者輸入，例如警報設定中的主旨，這可能導致任意程式碼執行。

CVE：

CVE-2023-35861
嚴重性：高

受影響產品：

在部分 X12、X13、H12 和 H13 主機板上的 Supermicro BMC。

解決方案：

所有受影響的 Supermicro 主機板 SKU 都將需要進行 BMC 更新，以緩解此潛在漏洞。
已建立更新的 BMC 韌體以緩解此潛在漏洞。Supermicro 目前正在測試和驗證受影響的產品。請查閱發行說明以獲取解決方案。

資源：

CVE-2023-35861

機架式伺服器

1U雙處理器

2U雙處理器

單一處理器

多處理器

產品系列

GPU伺服器

8U/10U GPU系列

4U/5U GPU系列

2U GPU系列

1U GPU產品線

Twin伺服器

FlexTwin™

BigTwin®

GrandTwin®

TwinPro®

FatTwin®

Blade伺服器

SuperBlade®

MicroBlade®

MicroCloud

儲存伺服器

所有儲存系統

全快閃NVMe

頂部裝載式儲存

JBOF

Petascale Grace儲存

企業最佳化儲存系統

JBOD儲存機箱

主機板

伺服器主機板

工作站主機板

嵌入式 / IoT主機板

桌上型 / 電競主機板

主機板系列

全球SKU

機殼

1U機箱

2U機箱

3U機箱

4U / 塔式機箱

中型 / 迷你立式機型

嵌入式 / 物聯網機箱

移動式貨架 / 驅動套件

JBOD儲存機箱

全球SKU

SuperRack®

資料中心解決方案工程（DCSE）

機架整合服務

配件裝置

各式電源線/連接線

Riser卡系列

儲存AOC系列

電源供應器系列

散熱器系列

系統風扇系列

移動式貨架 / 驅動套件

前機箱邊框

儲存、輸入/輸出、安全性

邊緣AI與物聯網系統

緊湊型邊緣系統

緊湊型邊緣伺服器

機架式邊緣伺服器

嵌入式元件

嵌入式主機板

嵌入式機箱

交換器

轉接器

SuperWorkstations

液冷式AI開發平台

單處理器

雙處理器

Supero™ Gaming解決方案

人工智慧基礎架構

資料中心建構組件解決方案（Data Center Building Block Solutions®，DCBBS）

AI工廠

邊緣AI

AI儲存

NVIDIA解決方案

AMD解決方案