预警编号：PowerLeader-sa-20230530-02-server

初始发布时间： 2023年05月30日

更新发布时间： 2023年06月04日

漏洞概述

部分宝德服务器产品的iBMC(Intelligent Baseboard Management Controller)模块存在两个JSON注入漏洞。一个经认证的远程攻击者可以向受影响设备发送特殊构造的报文来修改管理员密码。由于iBMC对输入数据校验不充分，成功利用这个漏洞可能导致攻击者获取系统管理权限。

影响后果

成功利用这个漏洞可能导致攻击者获取系统管理权限。

漏洞得分

漏洞使用CVSSv3计分系统进行分级
基础得分：8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
临时得分：8.2 (E:F/RL:O/RC:C)

技术细节

利用漏洞发起攻击的预置条件：

攻击者登录到目标设备。

漏洞详细描述：

一个经认证的远程攻击者可以向受影响设备发送特殊构造的报文来修改管理员密码。由于iBMC对输入数据校验不充分，成功利用这个漏洞可能导致攻击者获取系统管理权限。

规避措施

无

版本获取途径

用户可以通过宝德400热线获取补丁/更新版本。

漏洞来源

该漏洞由宝德内部测试发现。

更新记录

2023-06-04 V1.1 UPDATED Updated the affected version and fix version information
2023-05-30 V1.0 INITIAL

FAQ

无

后续改善计划

宝德计算机会持续跟进该漏洞的最新动态，请关注宝德计算机官网、官微公告有任何关于此漏洞修复的问题，可以通过以下方式联系我们:

宝德计算机售后咨询热线:4008-870-872

宝德PSIRT邮箱:psirt@powerleadercom.cn

宝德计算机官网:http://www.powerleadercom.cn