Divulgación de vulnerabilidades:
Esta divulgación comunica que un grupo externo se puso en contacto con Supermicro acerca de la vulnerabilidad potencial de los productos Supermicro .
Agradecimientos:
Supermicro desea agradecer el trabajo realizado por los investigadores de Synacktiv, con sede en Francia, por descubrir una posible vulnerabilidad en Supermicro SuperDoctor5 (SD5).
Hallazgos:
Los investigadores han identificado una vulnerabilidad en Supermicro SuperDoctor5 (SD5) que puede permitir a cualquier usuario autenticado en la interfaz web ejecutar remotamente comandos arbitrarios en el sistema donde está instalado SuperDoctor5 (SD5).
Un usuario autenticado puede editar el archivo log4j.properties a través del menú de depuración de la aplicación web. La modificación de parámetros específicos en este archivo permite a un atacante remoto ejecutar código arbitrario en el sistema subyacente, como usuario root.
CVE:
- CVE: CVE-2023-26795
- Gravedad: Alta
- Encontrado: Externamente
Productos afectados:
Supermicro SuperDoctor5 (SD5) versión 5.13.0
Solución:
Supermicro publicó la versión 5.14.0 que contiene la corrección de esta vulnerabilidad. La última versión 5.16.0 publicada el 12-05-2022 también contiene la corrección.
Recursos:
Puede descargar la última versión en:
CVE: