Várias vulnerabilidades críticas foram encontradas no firmware da Interface de Gerenciamento de Plataforma Inteligente (IPMI) para controladores de placa base (BMCs) da Supermicro.

Essas falhas podem resultar em escalação de privilégios e execução de código malicioso nos sistemas afetados. As sete vulnerabilidades, identificadas pelos códigos CVE-2023-40284 a CVE-2023-40290, variam em gravidade de alta a crítica.

A Supermicro já enviou uma atualização de firmware para corrigir essas falhas. Os BMCs são processadores especiais em placas-mãe de servidores que suportam gerenciamento remoto.

Eles permitem que os administradores monitorem indicadores de hardware, como temperatura, e atualizem o firmware do sistema UEFI. Três das falhas, com pontuações CVSS de 9.6, são vulnerabilidades de cross-site scripting (XSS) que permitem a execução remota de código JavaScript no contexto do usuário logado no BMC.

Mais de 70.000 instâncias de interfaces web IPMI da Supermicro estão expostas na internet, aumentando o risco de exploração maliciosa.