Supermicro基版管理控制器(BMC)出现重大层级漏洞CVE-2024-36435,这项漏洞起初由Nvidia资安团队通报,此漏洞引起研究人员高度关注的原因,在于攻击者可在未经身分验证的情况下,轻易地借由发出请求触发弱点,引起记忆体堆叠溢位,最终有机会执行任意程式码。Binarly认为,这是今年度最严重的BMC漏洞。
针对这项漏洞,根据Supermicro在公告当中的说明,发生的原因在于韧体的GetValue功能函数并未检查输入的值,而有机会引发记忆体缓冲区溢位,影响BMC的网页伺服器元件。部分的X11、X12、H12、B12、X13、H13,以及搭载CMM6模组的B13主机板曝险。