版本选择
openUBMC 26.06 版本发布说明
2026/06/30
openUBMC 26.06 版本发布说明
版本概览
作为26年第2个创新版本,openUBMC 26.06 采用木兰宽松许可证 2.0(Mulan PSL v2),用户可以自由复制、使用、修改、分发。
版本特性
26.06版本在26.03版本基础上进行开发,特性交付范围包括:
易用性:工具链、开发体验与可视化配置全面升级
BMC Studio IDE 能力增强
- CSR编码辅助:基于模型的属性与对象配置联想、掩码类型属性可视化、CSR复杂规则实时检查,支持用户扩展。
- 可视化配置能力:风冷调速策略可视化配置,支持基于模版创建部件驱动框架代码。
文档与知识体系建设
- IPMI文档结构化:补充IPMI文档结构化信息,支持通过脚本自动生成IPMI接口文档。
- 接口审核自动化:支持版本接口变更文档自动生成、sig-interface评审帖自动预审、社区接口变更PR自动检视。
- 技术知识沉淀:新增PMBus、NCSI、CANBus、M.2、NVMe、CPLD升级等系列技术介绍文档;新增storage、pcie_device等18个核心组件设计说明;建设200故障案例知识库。
工程与门禁能力
- 构建与出包:bingo支持白牌包出包、基于OEE工具链的整包构建/集成、ccache构建优化及PR页面Conan版本回显。
- 编译器适配:适配GCC 14.3编译器。
- 代码仓治理:component_drives代码仓体积及构建时间优化。
- 组件性能优化:支持组件启动性能优化、传感器对象接入性能提升30%。
丰富度:硬件生态、部件管理与平台能力拓展
网卡与网络适配
- 新网卡适配:新增沐创N10、网迅25GE、Mellanox MCX653106A、光润通F1002T-V3.0、N20 40G/100G等多款网卡。
- 182x系列能力增强:支持高低档182x系列的DFX、调速策略、告警补齐、光模块信息快速记录、SMBUS获取功率及自定义SMBUS固件升级。
- UB管理:光模块告警/信息采集、光链路定界、网口与光模块动态映射及web信息查询,提升UB设备带外可管理性。
硬盘与存储管理
- 新硬件适配:适配佰维SS821、PetaIO P8118Z3、YMTC PE511、芯展速/芯盛SSD等硬盘;支持9580-8i8e。
- RAID管理增强:支持多启动盘配置(Web/Redfish/CLI)、并行升级、硬盘故障自愈、日志收集及启动盘信息显示。
- NVMe能力:支持NVMe盘固件升级,并行升级。
异构计算与PCIe管理
- GPU/AI芯片适配:适配英伟达5090 和 Tesla P4/P40/V100/A100多款GPU。
- PCIe管理:支持基于rootBDF加载设备、UBC线缆检测增加整机白名单配置、SKU/RevisionId/Status属性查询。
运维管理
- CPLD无感升级:支持无感升级全流程(前置处理、寄存器保存恢复、BMC与模块交互、数据持久化)。
- 暂存升级:支持固件的暂存和待生效固件的版本号展示。
- 用户管理:支持分权分域、LDAP登入可定位。
标准:规范落地
接口协议标准化
- Redfish资源补齐:新增Chassis、Fan、Drive、Port、PortMetrics、NetworkAdapter、NetworkDeviceFunction、EthernetInterface、EnvironmentMetrics等OCP规范资源属性。
- 固件升级标准化:UpdateService支持MultipartHttpPushUri和Targets参数。
安全与签名规范
- 签名完整性:支持SignServer对接HPM外层签名、流水线固件完整性保护签名。
南向驱动规范与部件认证
- 南向驱动规范接入:风扇/电源/NVMe/RAID卡。
- 南向认证测评:网卡、GPU、硬盘、Raid。
- 固件联盟认证:支持固件联盟190+认证用例。
源代码
26.06版本源代码已发布至社区网站:https://openubmc.cn/download
版本兼容说明
| openUBMC/BMC_SDK | 5.14.0 | 5.13.0 | 5.12.0 | 5.11.0 | 5.10.0 |
|---|---|---|---|---|---|
| 26.06 | Y | Y | N | N | N |
| 26.03 | Y | Y | Y | N | N |
| 25.12 | N | N | Y | Y | N |
| 25.09 | N | N | N | Y | N |
| 25.06 | N | N | N | N | Y |
已知问题
本版本问题清单:
| ISSUE ID | 问题描述 | 关联仓库 |
|---|---|---|
| 4104349 | 使用Redfish接口修改自定义用户OEM权限,偶现PATCH接口返回500错误。 | account |
| 4106323 | Redfish访问Systems资源下级Storages资源跳转链接未切换为标准Storage。 | rackmount |
| 4106703 | SSH登录后执行ipmcget -d version查询版本信息超过性能基线2s。 | rackmount |
| 4106819 | 通知式热拔出网卡后重新插入实体网卡,切换管理网口到NCSI口后网络不通。 | rackmount |
| 3912021 | 博通RAID卡作为PCIe卡未配置BoardPCIeCard对象,导致/redfish/v1/Chassis/1/Boards/下查询不到。 | vpd |
已修复问题
本版本已修复问题清单(部分):
| ISSUE ID | 问题描述 | 关联仓库 |
|---|---|---|
| 3825410 | Vue的parseHTML函数正则表达式可导致ReDoS漏洞。 | webui |
| 3825420 | Vue原型污染可导致XSS攻击,攻击者可修改Object.prototype属性执行任意JS代码。 | webui |
| 3825424 | @intlify/shared的lib.deepCopy函数存在原型污染漏洞。 | webui |
| 3825413 | Vue I18n的handleFlatJson函数存在原型污染漏洞。 | webui |
| 3825414 | intlify vue-i18n组件存在XSS漏洞(CWE-79)。 | webui |
| 4072295 | 单板生产时间超过2027-11-25后,Redfish查询显示为1996年。 | frudata |
| 4035445 | BMC加载电子标签未实际成功仍上报pass,可能导致异常单板流入现网。 | frudata |
| 4077108 | 账户信息缓存同步存在时间窗口,新增账户的缓存信息可能被误删。 | account |
| 3880710 | 环境持久化存在不支持的账户策略数据时,重启后AccountPolicy读取异常。 | account |
| 4076853 | 部分组件不支持GCC 14.3编译器编译。 | spdm |
| 3878363 | bingo build/test依赖组件默认仅使用@openubmc结尾conan包,导致依赖解析错误。 | bingo |
| 4082796 | bingo build未正确使用本地conan缓存,导致重复下载已存在的组件包。 | bingo |
| 4077222 | 社区固件完整性保护签名缺少uboot部分签名,签名链路不完整。 | bingo |
| 3878995 | 传感器线性模式下事件构造至上限时,转储操作性能消耗过高。 | sensor |
| 4084448 | BMC上unions温度显示与实际不符。 | sensor_mgmt |
| 4091329 | service工具扫描EnvironmentMetrics接口存在兼容性问题。 | rackmount |
| 3834751 | 未配置精细化告警时,普通线缆告警也无法正常触发。 | pcie_device |
| 3912553 | thermal_mgmt组件启动时cooling_pumps文件产生无效日志刷屏。 | thermal_mgmt |
| 3856614 | HBM动态巡检参数配置功能接口定义调整。 | mdb_interface |
| 3720145 | RAID卡通讯丢失上报告警slot与实际物理槽位不一致。 | vpd |
| 4035170 | NVMe盘频繁热插拔时偶现调速策略未正确加载。 | storage |
| 3690536 | Lua语法and/or误当三目运算符使用,导致属性赋值全为true。 | storage |
| 4072112 | BMA开启后不支持南向驱动的网卡导致port_mgmt.lua日志刷屏。 | network_adapter |
| 3783134 | BMC配置独立VRD时,上传固件包执行暂存操作失败。 | general_hardware |
| 4092237 | retimer芯片故障时定时任务持续失败产生日志刷屏。 | general_hardware |
| 3833460 | 修复0x2400001F告警显示信息与产品资料不一致的问题。 | vpd |
| 3868622 | 网卡升级active流程未判断firmware type,影响其他固件active信号。 | network_adapter |
| 4032010 | 故障/预故障硬盘在BMC复位后告警状态被错误恢复再产生。 | storage |
| 4048926 | VRD生效流程中生效失败仍返回成功,操作日志与实际状态不一致。 | general_hardware |
| 3644159 | 电源CommunicationStatus异常恢复后,额定功率仍为0。 | power_mgmt |
CVE 漏洞
本版本已修复的CVE漏洞:
| 漏洞编号 | 漏洞描述 |
|---|---|
| CVE-2024-6783 | A vulnerability in Vue that allows an attacker to perform XSS via prototype pollution. The attacker could change the prototype chain of properties such as Object.prototype.staticClass or Object.prototype.staticStyle to execute arbitrary JavaScript code. |
| CVE-2024-9506 | An improper regular expression in Vue's parseHTML function leads to a potential regular expression denial of service vulnerability. |
| CVE-2024-52809 | A cross-site scripting (XSS) vulnerability in intlify vue-i18n up to 9.14.1/10.0.4. The manipulation of the argument createI18n/useI18n with unknown input leads to CWE-79. |
| CVE-2024-52810 | @intlify/shared (10.0.4) is vulnerable to Prototype Pollution through the entry function lib.deepCopy. An attacker can supply a payload with Object.prototype setter to introduce or modify properties within the global prototype chain, causing denial of service (DoS). |
| CVE-2025-27597 | Vue I18n @intlify/message-resolver and @intlify/vue-i18n-core are vulnerable to Prototype Pollution through the entry function handleFlatJson. An attacker can supply a payload with Object.prototype setter to introduce or modify properties within the global prototype chain. |
| CVE-2025-40908 | YAML-LibYAML prior to 0.903.0 for Perl uses 2-args open, allowing existing files to be modified. |
| CVE-2025-62718 | Axios prior to 1.15.0 and 0.31.0 does not correctly handle hostname normalization when checking NO_PROXY rules. Requests to loopback addresses like localhost. (with trailing dot) or ::1 (IPv6 literal) skip NO_PROXY matching and go through the configured proxy. |
| CVE-2026-40175 | Axios prior to 1.15.0 and 0.3.1 is vulnerable to a specific Gadget attack chain that allows Prototype Pollution in any third-party dependency to be escalated into Remote Code Execution (RCE) or Full Cloud Compromise. |
| CVE-2026-42033 | Axios prior to 1.15.1 and 0.31.1: when Object.prototype has been polluted by any co-dependency with keys that axios reads without a hasOwnProperty guard, an attacker can silently intercept and modify every JSON response before the application sees it, or fully hijack the underlying HTTP transport. |
| CVE-2026-42034 | Axios prior to 1.15.1 and 0.31.1: for stream request bodies, maxBodyLength is bypassed when maxRedirects is set to 0. Oversized streamed uploads are sent fully even when the caller sets strict body limits. |
| CVE-2026-42035 | Axios prior to 1.15.1 and 0.31.1: a prototype pollution gadget exists in the HTTP adapter that allows an attacker to inject arbitrary HTTP headers into outgoing requests. |
| CVE-2026-42036 | Axios prior to 1.15.1 and 0.31.1: when responseType: 'stream' is used, Axios returns the response stream without enforcing maxContentLength, bypassing configured response-size limits. |
| CVE-2026-42037 | Axios 1.0.0 to before 1.15.1: the FormDataPart constructor interpolates value.type directly into the Content-Type header without sanitizing CRLF sequences, allowing HTTP header injection. |
| CVE-2026-42038 | Axios prior to 1.15.1 and 0.31.1: incomplete fix for NO_PROXY hostname normalization bypass. When no_proxy=localhost is set, requests to 127.0.0.1 and ::1 still route through the proxy. |
| CVE-2026-42039 | Axios prior to 1.15.1 and 0.31.1: toFormData recursively walks nested objects with no depth limit, causing deeply nested request data to crash the Node.js process with a RangeError. |
| CVE-2026-42040 | Axios prior to 1.15.1 and 0.31.1: the encode() function contains a character mapping that reverses the safe percent-encoding of null bytes, converting %00 back to a raw null byte. |
| CVE-2026-42041 | Axios prior to 1.15.1 and 0.31.1: vulnerable to a Prototype Pollution Gadget attack that allows any Object.prototype pollution to silently suppress all HTTP error responses, bypassing application-level authentication and error handling. |
| CVE-2026-42042 | Axios prior to 1.15.1 and 0.31.1: XSRF token protection logic uses JavaScript truthy/falsy semantics instead of strict boolean comparison for withXSRFToken, causing cross-site request forgery protection bypass. |
| CVE-2026-42043 | Axios prior to 1.15.1 and 0.31.1: an attacker who can influence the target URL can use any 127.0.0.0/8 address (other than 127.0.0.1) to completely bypass the NO_PROXY protection. Incomplete fix for CVE-2025-62718. |
| CVE-2026-42044 | Axios 1.0.0 to before 1.15.2: vulnerable to a Prototype Pollution Gadget attack that allows any Object.prototype pollution to be escalated into surgical, invisible modification of all JSON API responses, including privilege escalation and authorization bypass. |
| CVE-2026-42264 | Axios 1.0.0 to before 1.15.2: five config properties (auth, baseURL, socketPath, beforeRedirect, insecureHTTPParser) are read via direct property access without hasOwnProperty guards, making them exploitable as prototype pollution gadgets. |
| CVE-2026-46625 | js-cookie's internal assign() helper copies properties with for...in + plain assignment. When the source object is produced by JSON.parse, the proto member triggers a per-instance prototype hijack, allowing attacker-controlled keys to land in Set-Cookie headers. |
OPEN SOURCE SOFTWARE NOTICE
接口 API 变更
资源协作接口变更
| 变更说明 | 变更详情 |
|---|---|
| 资源协作接口 bmc.kepler.Systems.NetworkPort 部分属性类型变更 | >> 变更详细说明 |
北向接口变更
| 变更说明 | 变更详情 |
|---|---|
| 【IPMI】IPMI接口Get/Set Rack Info机柜供电方式取值变更 | >> 变更详细说明 |
| 【Redfish】Redfish事件订阅请求参数EventTypes、Context由必选调整为可选 | >> 变更详细说明 |
| 【Redfish】Redfish网口资源部分属性在读取硬件数据失败时取值变更 | >> 变更详细说明 |
致谢
我们衷心感谢参与openUBMC项目的所有社区开发者,正是因为你们的参与才能使得此版本顺利发布,为openUBMC更好的发展迈出了第一步。
【版权声明】Copyright © 2026 openUBMC Community。本文由openUBMC社区首发,欢迎遵照CC-BY-SA 4.0协议规定转载。转载时敬请在正文注明并保留原文链接和作者信息。
【免责声明】本文仅代表作者本人观点,与本网站无关。本网站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。本文仅供读者参考,由此产生的所有法律责任均由读者本人承担。