SMTP通知におけるシェルインジェクション
脆弱性の開示
本脆弱性情報開示の目的は、外部の研究者から報告されたSupermicro 製品に影響を及ぼす可能性のある脆弱性をお伝えすることです。
謝辞
Supermicro は、H12SSL-NT マザーボードに潜在的な脆弱性を発見したドイツの研究者の功績を称えたいと思います。
調査結果
選択されたsupermicro ボードにおける脆弱性は、SMTP 通知設定に影響する可能性があります。この脆弱性により、認証されていない悪意のある第三者が、アラート設定の件名などのユーザ入力を制御し、コードの任意の実行につながる可能性があります。
CVE:
- CVE-2023-35861
- 深刻度:高
影響を受ける製品
一部のX12、X13、およびH12、H13マザーボードに搭載されているSupermicro BMC。
解決策
- 影響を受けるすべてのSupermicro マザーボード SKU では、この潜在的な脆弱性を軽減するために BMC の更新が必要になります。
- この潜在的な脆弱性を軽減するために、更新された BMC ファームウェアが作成されました。Supermicro 現在、影響を受ける製品のテストと検証を行っています。解決方法については、リリースノートをご確認ください。