文章总结: IBMPowerHMC存在严重命令注入漏洞CVE-2026-12943,CVSS评分9.8,允许未授权攻击者远程执行任意命令。影响HMCV10.3.1050.0至V10.3.1064.0及V11.1.1110.0至V11.1.1112.0版本。管理员应立即从IBMFixCentral下载补丁修复,防止系统被完全控制。 综合评分: 83 文章分类: 漏洞分析,应急响应,漏洞预警,安全工具,解决方案
IBM Power HMC 存在严重漏洞,系统面临风险暴露
sec随谈 sec随谈
sec随谈
2026年7月8日 09:22 北京
在小说阅读器读本章
去阅读
IBM Power HMC 存在严重漏洞,系统面临风险暴露
摘要
IBM 披露了一个存在于其 Power 硬件管理控制台(Hardware Management Console,HMC)中的严重漏洞,CVSS 评分高达 9.8,编号为 CVE-2026-12943。这一 IBM Power HMC 漏洞可让未经身份验证的攻击者执行任意命令。管理员必须立即应用现有补丁,以防止未授权访问。
为何重要
硬件管理控制台负责管理系统及逻辑分区(logical partitions),同时还处理服务器硬件的按需容量(Capacity on Demand)功能。此外,HMC 还会与受管理系统进行通信,用于检测并汇总关键信息。一旦此处被攻破,攻击者就能获得对底层基础设施的完全控制权。这一 IBM Power HMC 漏洞对全球企业网络构成了巨大风险。目前,IBM 尚未证实存在任何野外主动利用行为,此外,目前也没有公开的概念验证(PoC)利用代码。安装量的具体数据尚不可知,但 Power 系统在全球范围内服务着数千家大型企业。
攻击原理
该缺陷涉及一个严重的操作系统命令注入漏洞,通用缺陷枚举(CWE)将该特定缺陷归类为 CWE-78。具体来说,该管理系统未能妥善校验用户提供的输入内容。安全公告警告称,该漏洞”可能允许未经身份验证的用户以提升的权限执行任意命令”。攻击者通过网络发送包含特殊命令元素的恶意输入,目标系统会将这些恶意输入直接作为操作系统命令来处理。因此,远程攻击者无需任何有效的用户凭据,即可获得完整的管理员控制权限。
受影响版本
该漏洞影响特定版本的控制台软件。受影响的产品包括 HMC V10.3.1050.0 至 V10.3.1064.0 版本,此外,该缺陷同样影响 HMC V11.1.1110.0 至 V11.1.1112.0 版本。运行 Novalink 的 IBM Power 环境中的管理系统同样面临风险。
修复与缓解措施
IBM 强烈建议立即修复该漏洞。管理员必须直接从 IBM Fix Central 下载官方软件修复程序。目前 V10R3 和 V11R1 两个产品分支均已提供官方安全修复补丁,因此请尽快应用这些补丁,以保护您的企业环境免受潜在入侵威胁。
参考链接:
https://www.ibm.com/support/pages/node/7278667
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:sec随谈 sec随谈 sec随谈《IBM Power HMC 存在严重漏洞,系统面临风险暴露》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论