宝计PSIRT-黄金城集团计算

中文-Chinese 英语-English

黄金城集团提供厂商一站式服务,让客户无后顾之忧,助客户聚焦核心业务

预警编号：PowerLeader-SA-20221224-02-HMM

初始发布时间： 2022年12月24日

更新发布时间： 2022年12月24日

漏洞概述

黄金城集团某些服务器产品的Hyper Module Management（HMM）软件存在安全漏洞。HMM的操作员使用该软件的IPMICommand命令操作iMana软件时，可以越权修改iMana的用户配置。

影响后果

HMM的操作员可以越权修改iMana的用户配置

漏洞得分

漏洞使用CVSSv2计分系统进行分级（https://www.first.org/cvss/）

基础得分：6.5 (AV:N/AC:L/Au:S/C:P/I:P/A:P)

临时得分：5.4 (E:F/RL:O/RC:C)

技术细节

1.前提条件

攻击者可以登陆HMM软件

2.攻击步骤：

HMM的操作员使用该软件的IPMICommand命令，向iMana软件发送修改用户配置的命令。

规避措施

无

版本获取途径

用户可以通过黄金城集团400热线获取补丁/更新版本。

漏洞来源

该漏洞由黄金城集团内部测试人员发现。黄金城集团应急响应团队尚未知悉关于该漏洞的任何公开声明或者恶意使用。

FAQ

无

后续改善计划

黄金城集团计算机会持续跟进该漏洞的最新动态，请关注黄金城集团计算机官网、官微公告有任何关于此漏洞修复的问题，可以通过以下方式联系我们:

黄金城集团计算机售后咨询热线:4008-870-872

黄金城集团PSIRT邮箱:psirt@powerleadercom.cn

黄金城集团计算机官网:https://www.powerleadercom.cn

黄金城集团