漏洞披露：

本披露声明指出，一个外部组织就 Supermicro 产品的潜在漏洞联系了 Supermicro。

鸣谢：

Supermicro 谨此感谢来自法国 Synacktiv 的研究人员，他们发现了 Supermicro SuperDoctor5 (SD5) 中存在的潜在漏洞。

调查结果

研究人员在 Supermicro SuperDoctor5 (SD5) 中发现了一个漏洞，该漏洞可能允许任何通过 Web 界面进行身份验证的用户在安装了 SuperDoctor5 (SD5) 的系统上远程执行任意命令。

经过身份验证的用户可通过Web应用程序的调试菜单编辑log4j.properties文件。修改该文件中的特定参数后，远程攻击者能够以root用户身份在底层系统上执行任意代码。

CVE：

• CVE：CVE-2023-26795
• 严重性：高
• 发现：外部

受影响的产品：

Supermicro SuperDoctor5 (SD5) 版本 5.13.0

解决方案：

Supermicro 发布了 5.14.0 版本，其中包含针对此漏洞的修复程序。于 2022 年 12 月 5 日发布的最新版本 5.16.0 也包含此修复程序。

资源

您可从以下地址下载最新版本：

• https://www.supermicro.com/en/support/resources/downloadcenter/smsdownload

CVE：

• CVE-2023-26795