SMTP 通知中的外壳注入
漏洞披露:
本次漏洞披露旨在传达由外部研究人员报告的、影响 Supermicro 产品的潜在漏洞。
鸣谢:
Supermicro 谨此感谢来自德国的研究人员,他们发现了 H12SSL-NT 主板中的一个潜在漏洞。
调查结果
部分 Supermicro 主板中的漏洞可能会影响 SMTP 通知配置。该漏洞可能允许未经身份验证的恶意行为者控制用户输入,例如警报设置中的主题,这可能导致任意代码执行。
CVE:
- CVE-2023-35861
- 严重性:高
受影响的产品:
部分 X12、X13 以及 H12、H13 主板中的 Supermicro BMC。
解决方案:
- 所有受影响的 Supermicro 主板 SKU 都将需要进行 BMC 更新以缓解此潜在漏洞。
- 已创建更新的 BMC 固件以缓解此潜在漏洞。Supermicro 目前正在测试和验证受影响的产品。请查阅发行说明以获取解决方案。