预警编号：PowerLeader-sa-20230530-03-server

初始发布时间： 2023-05-30

更新发布时间： 2023-06-04

漏洞概述

部分宝德服务器产品的iBMC(Intelligent Baseboard Management Controller)模块存在一个权限提升的安全漏洞。一个远程攻击者可以向受影响设备发送特殊构造的登录信息报文。由于鉴权逻辑错误，成功利用这个漏洞会导致低权限用户获取或修改高权限用户的口令。

影响后果

成功利用此漏洞会导致低权限用户获取或修改高权限用户的口令。

漏洞得分

漏洞使用CVSSv3计分系统进行分级

基础得分：8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)

临时得分：8.2 (E:F/RL:O/RC:C)

技术细节

利用漏洞发起攻击的预置条件：
攻击者拥有登录设备的账号和口令。
漏洞详细描述：
一个远程攻击者可以向受影响设备发送特殊构造的登录信息报文。由于鉴权逻辑错误，成功利用这个漏洞会导致低权限用户获取或修改高权限用户的口令。

规避措施

无

版本获取途径

用户可以通过宝德400热线获取补丁/更新版本。

漏洞来源

该漏洞由宝德内部测试发现。

更新记录

2023-06-04 V1.1 UPDATED Updated the affected version and fix version information
2023-05-30 V1.0 INITIAL

FAQ

无

后续改善计划

宝德计算机会持续跟进该漏洞的最新动态，请关注宝德计算机官网、官微公告有任何关于此漏洞修复的问题，可以通过以下方式联系我们:

宝德计算机售后咨询热线:4008-870-872

宝德PSIRT邮箱:psirt@powerleadercom.cn

宝德计算机官网:http://www.powerleadercom.cn