Offenlegung von Schwachstellen:
Diese Offenlegung teilt mit, dass eine externe Gruppe Supermicro bezüglich der potenziellen Schwachstelle von Supermicro-Produkten kontaktiert hat.
Danksagung:
Supermicro möchte die Arbeit anerkennen, die von Forschern von Synacktiv aus Frankreich geleistet wurde, indem sie eine potenzielle Schwachstelle in Supermicro SuperDoctor5 (SD5) entdeckten.
Feststellungen:
Forscher haben eine Schwachstelle in Supermicro SuperDoctor5 (SD5) identifiziert, die es jedem authentifizierten Benutzer auf der Weboberfläche ermöglichen könnte, beliebige Befehle remote auf dem System auszuführen, auf dem SuperDoctor5 (SD5) installiert ist.
Ein authentifizierter Benutzer kann die Datei log4j.properties über das Debug-Menü der Webanwendung bearbeiten. Die Änderung bestimmter Parameter in dieser Datei ermöglicht es einem entfernten Angreifer, als Root-Benutzer beliebigen Code auf dem zugrunde liegenden System auszuführen.
CVE:
- CVE: CVE-2023-26795
- Schweregrad: Hoch
- Gefunden: Äußerlich
Betroffene Produkte:
Supermicro SuperDoctor5 (SD5) Version 5.13.0
Lösung:
Supermicro veröffentlichte Version 5.14.0, die den Fix für diese Schwachstelle enthält. Die neueste Version 5.16.0, veröffentlicht am 12.05.2022, enthält ebenfalls den Fix.
Ressourcen:
Sie können die neueste Version von der Website herunterladen:
CVE: