Shell-Injektion in die SMTP-Benachrichtigungen
Offenlegung von Schwachstellen:
Der Zweck dieser Offenlegung von Sicherheitslücken ist es, eine potenzielle Sicherheitslücke in Supermicro zu melden, die von einem externen Forscher gemeldet wurde.
Danksagung:
Supermicro möchte die Arbeit des Forschers aus Deutschland würdigen, der eine potenzielle Schwachstelle im H12SSL-NT-Motherboard entdeckt hat.
Feststellungen:
Eine Schwachstelle in den ausgewählten supermicro kann SMTP-Benachrichtigungskonfigurationen betreffen. Die Schwachstelle kann es nicht authentifizierten böswilligen Akteuren ermöglichen, Benutzereingaben wie den Betreff in den Benachrichtigungseinstellungen zu kontrollieren, was zu einer willkürlichen Ausführung von Code führen kann.
CVE:
- CVE-2023-35861
- Schweregrad: Hoch
Betroffene Produkte:
Supermicro BMC in ausgewählten X12, X13, und H12, H13 Motherboards.
Lösung:
- Alle betroffenen Supermicro Motherboard-SKUs benötigen ein BMC-Update, um diese potenzielle Schwachstelle zu beheben.
- Es wurde eine aktualisierte BMC-Firmware erstellt, um diese potenzielle Schwachstelle zu entschärfen. Supermicro testet und validiert derzeit die betroffenen Produkte. Bitte prüfen Sie die Release Notes für die Lösung.