脆弱性の開示

この開示は、外部団体がSupermicro に潜在的な脆弱性Supermicro 連絡したことを伝えています。

謝辞

Supermicro 、フランスに拠点を置くSynacktiv社の研究者の方々が、Supermicro （SD5）に潜在的な脆弱性を発見された功績を、ここに感謝Supermicro 。

調査結果

研究者により、Supermicro （SD5）に脆弱性が確認されました。この脆弱性により、Webインターフェース上で認証された任意のユーザーが、SuperDoctor5（SD5）がインストールされているシステム上で、リモートから任意のコマンドを実行できる可能性があります。

認証されたユーザは、ウェブ・アプリケーションのデバッグ・メニューを通して log4j.properties ファイルを編集することができます。このファイルの特定のパラメータを変更することで、リモートの攻撃者は、ルート・ユーザとして、基礎となるシステム上で任意のコードを実行することができます。

CVE：

• CVE: CVE-2023-26795
• 深刻度：高
• 発見外部

影響を受ける製品

Supermicro (SD5) バージョン 5.13.0

解決策

Supermicro 、この脆弱性に対する修正を含むバージョン5.14.0Supermicro 。2022年12月5日にリリースされた最新版5.16.0にも、この修正が含まれております。

リソース

最新版は以下からダウンロードできます：

• https://www.supermicro.com/en/support/resources/downloadcenter/smsdownload

CVE：

• 26795