預(yù)警編號(hào):PowerLeader-sa-20230530-02-server
初始發(fā)布時(shí)間: 2023年05月30日
更新發(fā)布時(shí)間: 2023年06月04日
漏洞概述
部分寶德服務(wù)器產(chǎn)品的iBMC(Intelligent Baseboard Management
Controller)模塊存在兩個(gè)JSON注入漏洞。一個(gè)經(jīng)認(rèn)證的遠(yuǎn)程攻擊者可以向受影響設(shè)備發(fā)送特殊構(gòu)造的報(bào)文來(lái)修改管理員密碼。由于iBMC對(duì)輸入數(shù)據(jù)校驗(yàn)不充分,成功利用這個(gè)漏洞可能導(dǎo)致攻擊者獲取系統(tǒng)管理權(quán)限���。
影響后果
成功利用這個(gè)漏洞可能導(dǎo)致攻擊者獲取系統(tǒng)管理權(quán)限����。
漏洞得分
漏洞使用CVSSv3計(jì)分系統(tǒng)進(jìn)行分級(jí)
基礎(chǔ)得分:8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
臨時(shí)得分:8.2 (E:F/RL:O/RC:C)
技術(shù)細(xì)節(jié)
利用漏洞發(fā)起攻擊的預(yù)置條件:
攻擊者登錄到目標(biāo)設(shè)備�����。
漏洞詳細(xì)描述:
一個(gè)經(jīng)認(rèn)證的遠(yuǎn)程攻擊者可以向受影響設(shè)備發(fā)送特殊構(gòu)造的報(bào)文來(lái)修改管理員密碼��。由于iBMC對(duì)輸入數(shù)據(jù)校驗(yàn)不充分���,成功利用這個(gè)漏洞可能導(dǎo)致攻擊者獲取系統(tǒng)管理權(quán)限。
規(guī)避措施
無(wú)
版本獲取途徑
用戶(hù)可以通過(guò)寶德400熱線(xiàn)獲取補(bǔ)丁/更新版本��。
漏洞來(lái)源
該漏洞由寶德內(nèi)部測(cè)試發(fā)現(xiàn)�。
更新記錄
2023-06-04 V1.1
UPDATED Updated the affected version and fix version information
2023-05-30 V1.0 INITIAL
FAQ
無(wú)
后續(xù)改善計(jì)劃
寶德計(jì)算機(jī)會(huì)持續(xù)跟進(jìn)該漏洞的最新動(dòng)態(tài),請(qǐng)關(guān)注寶德計(jì)算機(jī)官網(wǎng)����、官微公告有任何關(guān)于此漏洞修復(fù)的問(wèn)題,可以通過(guò)以下方式聯(lián)系我們:
寶德計(jì)算機(jī)售后咨詢(xún)熱線(xiàn):4008-870-872
寶德PSIRT郵箱:psirt@powerleadercom.cn
寶德計(jì)算機(jī)官網(wǎng):http://www.powerleadercom.cn
4008-870-872
點(diǎn)擊咨詢(xún)
