Divulgación de vulnerabilidades:
Esta divulgación comunica que un grupo externo contactó a Supermicro sobre la posible vulnerabilidad de los productos Supermicro.
Agradecimientos:
Supermicro desea reconocer el trabajo realizado por los investigadores de Synacktiv, con sede en Francia, por descubrir una posible vulnerabilidad en Supermicro SuperDoctor5 (SD5).
Hallazgos:
Investigadores han identificado una vulnerabilidad en Supermicro SuperDoctor5 (SD5) que podría permitir a cualquier usuario autenticado en la interfaz web ejecutar comandos arbitrarios de forma remota en el sistema donde está instalado SuperDoctor5 (SD5).
Un usuario autenticado puede editar el archivo log4j.properties a través del menú de depuración de la aplicación web. La modificación de parámetros específicos en este archivo permite a un atacante remoto ejecutar código arbitrario en el sistema subyacente, como usuario root.
CVE:
- CVE: CVE-2023-26795
- Gravedad: Alta
- Encontrado: Externamente
Productos afectados:
Supermicro SuperDoctor5 (SD5) versión 5.13.0
Solución:
Supermicro lanzó la versión 5.14.0 que contiene la solución para esta vulnerabilidad. La última versión 5.16.0, publicada el 05-12-2022, también incluye la solución.
Recursos:
Puede descargar la última versión en:
CVE: