脆弱性の開示

この開示は、外部グループがSupermicro製品の潜在的な脆弱性についてSupermicroに連絡したことを伝えています。

謝辞

Supermicroは、フランスを拠点とするSynacktivの研究者がSupermicro SuperDoctor5 (SD5)における潜在的な脆弱性を発見したことに対し、その功績を認め、感謝の意を表します。

調査結果

研究者たちは、Supermicro SuperDoctor5 (SD5) に脆弱性を特定しました。これにより、ウェブインターフェース上の認証済みユーザーであれば誰でも、SuperDoctor5 (SD5) がインストールされているシステム上で任意のコマンドをリモートで実行できる可能性があります。

認証されたユーザは、ウェブ・アプリケーションのデバッグ・メニューを通して log4j.properties ファイルを編集することができます。このファイルの特定のパラメータを変更することで、リモートの攻撃者は、ルート・ユーザとして、基礎となるシステム上で任意のコードを実行することができます。

CVE：

• CVE: CVE-2023-26795
• 深刻度：高
• 発見外部

影響を受ける製品

Supermicro SuperDoctor5 (SD5) バージョン 5.13.0

ソリューション

Supermicro は、この脆弱性に対する修正を含むバージョン5.14.0をリリースしました。2022年12月5日にリリースされた最新バージョン5.16.0にも修正が含まれています。

関連資料

最新版は以下からダウンロードできます：

• https://www.supermicro.com/en/support/resources/downloadcenter/smsdownload

CVE：

• 26795