Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en el firmware BMC de Lanner

Fecha de publicación 28/11/2022
Identificador

INCIBE-2022-1031

Importancia
5 - Crítica
Recursos Afectados

Dispositivos BMC de Lanner basados ​​en el MegaRAC SP-X, de American Megatrends (AMI), con versiones de firmware:

  • 1.10.0;
  • 1.00.0, solo CVE-2021-4228.
Descripción

Los investigadores de Nozomi Networks Labs han encontrado 13 vulnerabilidades en el firmware de los dispositivos BMC y en los controladores de gestión de la placa base, de la compañía taiwanesa, Lanner Inc.

Solución

Se recomienda contactar con el servicio de soporte técnico, ya que la resolución de los fallos de seguridad dependen de las versiones del firmware BMC.

Detalle
  • Las vulnerabilidades de severidad crítica podrían permitir a un atacante inyectar código o provocar un desbordamiento de búfer basado en pila. Se han asignado los identificadores: CVE-2021-26727, CVE-2021-26728, CVE-2021-26729, CVE-2021-26730 y CVE-2021-26731 para estas vulnerabilidades.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-26732, CVE-2021-26733, CVE-2021-44776, CVE-2021-44467, CVE-2021-44769, CVE-2021-46279, CVE-2021-45925 y CVE-2021-4228.

Encuesta valoración