一、 漏洞 CVE-2025-12006 基础信息
漏洞信息
# Supermicro BMC 固件更新验证绕过漏洞
## 概述
Supermicro MBD-X12STW-F 主板的 BMC 固件验证逻辑存在漏洞,允许攻击者刷入特制的固件镜像。
## 影响版本
Supermicro MBD-X12STW-F 主板所使用的 BMC 固件(具体版本未明确)。
## 细节
该漏洞存在于 BMC 固件的验证机制中,未能正确校验固件更新镜像的合法性,导致攻击者可绕过签名或完整性检查,加载并刷入恶意或伪造的固件。
## 影响
攻击者可利用此漏洞更新系统固件,可能导致设备完全被控、持久化后门植入、敏感信息泄露或拒绝服务。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Supermicro BMC firmware update validation bypass
来源:美国国家漏洞数据库 NVD
漏洞描述信息
There is a vulnerability in the Supermicro BMC firmware validation logic at Supermicro MBD-X12STW-F . An attacker can update the system firmware with a specially crafted image.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
密码学签名的验证不恰当
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-12006 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-12006 的情报信息
标题: Vulnerabilities in Supermicro BMC firmware, January 2026 | Supermicro -- 🔗来源链接
标签:
神龙速读:## 关键信息 ### 漏洞概述 - **时间**: January 2026 - **受影响产品**: Supermicro BMC firmware - **报告者**: 外部研究员 ### 确认与致谢 - 致谢Binary研究人员发现Supermicro BMC Firmware中的潜在漏洞 ### 漏洞详情 | CVE ID | 严重程度 | 问题类型 | 描述 | |----------------|----------|------------------------------|-------------------------------------------------------------------------------------------------------| | CVE-2025-12006 | 高 | 密码签名验证不当 | Supermicro BMC firmware身份验证设计中的漏洞,允许潜在攻击者用特制镜像更新系统firmware | | CVE-2025-12007 | 高 | 密码签名验证不当 | Supermicro BMC firmware身份验证设计中的漏洞,允许潜在攻击者用特制镜像更新系统firmware | ### 注意事项 - 特殊的BMC Firmware安装处理可能需要 - 一些平台可能需要过渡firmware才能应用CVE-2025-12006和CVE-2025-12007的修复 ### 修复措施 - 受影响的Supermicro主板SKU需要BMC更新来缓解这些潜在漏洞 - 更新的BMC firmware已创建来消除这些潜在漏洞 ### 利用和公开通知 - Supermicro未发现这些漏洞在野外被恶意利用的证据
- https://nvd.nist.gov/vuln/detail/CVE-2025-12006
四、漏洞 CVE-2025-12006 的评论
暂无评论