Offenlegung von Schwachstellen:
Diese Meldung besagt, dass eine externe Gruppe Supermicro wegen einer potenziellen Schwachstelle in Supermicro kontaktiert hat.
Danksagung:
Supermicro möchte den Forschern von Synacktiv mit Sitz in Frankreich für die Entdeckung einer potenziellen Sicherheitslücke in Supermicro SuperDoctor5 (SD5) danken.
Feststellungen:
Forscher haben eine Schwachstelle in Supermicro SuperDoctor5 (SD5) entdeckt, die es jedem authentifizierten Benutzer auf dem Webinterface erlauben könnte, beliebige Befehle auf dem System auszuführen, auf dem SuperDoctor5 (SD5) installiert ist.
Ein authentifizierter Benutzer kann die Datei log4j.properties über das Debug-Menü der Webanwendung bearbeiten. Die Änderung bestimmter Parameter in dieser Datei ermöglicht es einem entfernten Angreifer, als Root-Benutzer beliebigen Code auf dem zugrunde liegenden System auszuführen.
CVE:
- CVE: CVE-2023-26795
- Schweregrad: Hoch
- Gefunden: Äußerlich
Betroffene Produkte:
Supermicro SuperDoctor5 (SD5) Version 5.13.0
Lösung:
Supermicro hat die Version 5.14.0 veröffentlicht, die den Fix für diese Sicherheitslücke enthält. Die neueste Version 5.16.0, die am 12-05-2022 veröffentlicht wurde, enthält ebenfalls die Korrektur.
Ressourcen:
Sie können die neueste Version von der Website herunterladen:
CVE: