脆弱性の開示

本開示は、外部の団体がSupermicro に潜在的な脆弱性があるSupermicro 連絡したことを伝えています。

謝辞

Supermicro 、Supermicro （SD5）における潜在的な脆弱性を発見した、フランスに拠点を置くSynacktivの研究者の方々の功績に感謝Supermicro 。

調査結果

研究者らは、Supermicro （SD5）に脆弱性を発見しました。この脆弱性により、インタフェース された任意のユーザーが、SuperDoctor5（SD5）がインストールされているシステム上で任意のコマンドをリモートでインタフェース 可能性があります。

認証されたユーザは、ウェブ・アプリケーションのデバッグ・メニューを通して log4j.properties ファイルを編集することができます。このファイルの特定のパラメータを変更することで、リモートの攻撃者は、ルート・ユーザとして、基礎となるシステム上で任意のコードを実行することができます。

CVE：

• CVE: CVE-2023-26795
• 深刻度：高
• 発見外部

影響を受ける製品

Supermicro (SD5) バージョン 5.13.0

ソリューション

Supermicro 、この脆弱性に対する修正を含むバージョン5.14.0をSupermicro 。2022年5月12日にリリースされた最新バージョン5.16.0にも、この修正が含まれています。

関連資料

最新版は以下からダウンロードできます：

• https://www.supermicro.com/en/support/resources/downloadcenter/smsdownload

CVE：

• CVE-2023-26795