Offenlegung von Schwachstellen:
Diese Offenlegung teilt mit, dass eine externe Gruppe Supermicro einer potenziellen Sicherheitslücke in Supermicro kontaktiert hat.
Danksagung:
Supermicro would like to acknowledge the work done by the researchers from Synacktiv based in the France for discovering a potential vulnerability in Supermicro SuperDoctor5 (SD5).
Feststellungen:
Forscher haben eine Schwachstelle in Supermicro (SD5) entdeckt, die es jedem authentifizierten Benutzer der Webschnittstelle ermöglichen könnte, aus der Ferne beliebige Befehle auf dem System auszuführen, auf dem SuperDoctor5 (SD5) installiert ist.
Ein authentifizierter Benutzer kann die Datei log4j.properties über das Debug-Menü der Webanwendung bearbeiten. Die Änderung bestimmter Parameter in dieser Datei ermöglicht es einem entfernten Angreifer, als Root-Benutzer beliebigen Code auf dem zugrunde liegenden System auszuführen.
CVE:
- CVE: CVE-2023-26795
- Schweregrad: Hoch
- Gefunden: Äußerlich
Betroffene Produkte:
Supermicro SuperDoctor5 (SD5) version 5.13.0
Lösung:
Supermicro released version 5.14.0 that contains the fix to this vulnerability. The latest version 5.16.0 released on 12-05-2022 also contains the fix.
Ressourcen:
Sie können die neueste Version von der Website herunterladen:
CVE: