Shell-Injektion in die SMTP-Benachrichtigungen
Offenlegung von Schwachstellen:
Der Zweck dieser Schwachstellenoffenlegung ist es, die potenzielle Schwachstelle, die Supermicro-Produkte betrifft und von einem externen Forscher gemeldet wurde, mitzuteilen.
Danksagung:
Supermicro möchte die Arbeit anerkennen, die von einem Forscher aus Deutschland geleistet wurde, indem er eine potenzielle Schwachstelle im H12SSL-NT Motherboard entdeckte.
Feststellungen:
Eine Schwachstelle in ausgewählten Supermicro Boards kann SMTP-Benachrichtigungskonfigurationen beeinträchtigen. Diese Schwachstelle kann unauthentifizierten Angreifern ermöglichen, Benutzereingaben, wie den Betreff in den Alarmeinstellungen, zu manipulieren, was zu einer beliebigen Codeausführung führen kann.
CVE:
- 35861
- Schweregrad: Hoch
Betroffene Produkte:
Supermicro BMC in ausgewählten X12-, X13- sowie H12- und H13-Hauptplatinen.
Lösung:
- Alle betroffenen Supermicro Mainboard-SKUs erfordern ein BMC-Update, um diese potenzielle Schwachstelle zu mindern.
- Eine aktualisierte BMC-Firmware wurde erstellt, um diese potenzielle Schwachstelle zu mindern. Supermicro testet und validiert derzeit betroffene Produkte. Bitte prüfen Sie die Release Notes für die Lösung.