• 黄金城集团

        
        中文-Chinese 英语-English
        安全预警-黄金城集团服务器产品HMM软件的IPMICommand命令中的越权漏洞

        预警编号:PowerLeader-SA-20221224-02-HMM

        初始发布时间: 20221224

        更新发布时间: 20221224

        漏洞概述

        黄金城集团某些服务器产品的Hyper Module ManagementHMM)软件存在安全漏洞。HMM的操作员使用该软件的IPMICommand命令操作iMana软件时,可以越权修改iMana的用户配置。

        影响后果

        HMM的操作员可以越权修改iMana的用户配置

        漏洞得分

        漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/

        基础得分:6.5 (AV:N/AC:L/Au:S/C:P/I:P/A:P)

        临时得分:5.4 (E:F/RL:O/RC:C)

        技术细节

        1.前提条件

        攻击者可以登陆HMM软件

        2.攻击步骤:

        HMM的操作员使用该软件的IPMICommand命令,向iMana软件发送修改用户配置的命令。

        规避措施

        版本获取途径

        用户可以通过黄金城集团400热线获取补丁/更新版本。

        漏洞来源

        该漏洞由黄金城集团内部测试人员发现。黄金城集团应急响应团队尚未知悉关于该漏洞的任何公开声明或者恶意使用。

        FAQ

        后续改善计划

        黄金城集团计算机会持续跟进该漏洞的最新动态,请关注黄金城集团计算机官网、官微公告有任何关于此漏洞修复的问题,可以通过以下方式联系我们:

        黄金城集团计算机售后咨询热线:4008-870-872

        黄金城集团PSIRT邮箱:psirt@powerleadercom.cn

        黄金城集团计算机官网:http://www.powerleadercom.cn