QNAP retter fejl i produkter

Kritisk fejl i QTS

QNAP Systems, der bl.a. producerer NAS-løsninger, har udsendt rettelser sårbarheder på tværs af produktporteføljen, herunder to alvorlige fejl.

Det skriver Security Week.

Fejlene har id-numrene CVE-2023-45025 og CVE-2023-39297. De beskrives som OS command injection-fejl, der påvirker QTS-versionerne 5.1.x og 4.5.x, QuTS hero-versionerne h5.1.x og h4.5.x og QuTScloud version 5.x.

CVE-2023-45025 har en CVSS-score på 9,0 og kan ifølge QNAP udnyttes af brugere til at afvikle kommandoer via netværket under visse systemkonfigurationer. CVE-2023-39297 kræver godkendelse for at kunne blive udnyttet. Denne har en score på 8,8.

QNAP har også bekendtgjort, at der er rettelser til de mindre alvorlige fejl, CVE-2023-47567 og CVE-2023-47568, i QuTS hero og QuTScloud. Disse kræver godkendelse som administrator for at kunne blive udnyttet.

Alle fire fejl er blevet håndteret i forskellige versioner af QTeS og QuTS hero. Desuden er der rettet en række mindre alvorlige fejl.

Det fremgår ifølge Security Week, at fejlene ikke skulle være blevet udnyttet i angreb.

Links:

https://www.securityweek.com/qnap-patches-high-severity-bugs-in-qts-qsync-central/

https://www.qnap.com/en/security-advisories