Af Eskil Sørensen, 10/01/24
QNAP har frigivet rettelser til flere fejl, herunder alvorlige sårbarheder, der påvirker QTS og QuTS hero, QuMagie, Netatalk og Video Station. Det skriver The Hacker News.
Den mest alvorlige findes i QTS, som er operativsystemet for QNAPs mest simple Network Attached Storage (NAS). Sårbarheden har id’et CVE-2023-39296 og en CVSS-score på 7,5. Det er en ’prototype polution’-sårbarhed, der gør det muligt for fjernangribere få et system til at gå ned. Det sker ved at overskrive eksisterende attributter med inkompatible attributter. De opdaterede version af de påvirkede produkter er QTS 5.1.3.2578 build 20231110 og QuTS hero h5.1.3.2578 build 20231110.
Udover den nævnte er de andre fejl fra QNAP følgende:
- CVE-2023-47559 - En cross-site scripting (XSS) sårbarhed i QuMagie. Den gør det muligt for godkendte brugere at injicere ondsindet kode via et netværk. Den er adresseret i QuMagie 2.2.1 og nyere.
- CVE-2023-47560 - En command injection-sårbarhed i operativsystemet i QuMagie. Den kan give godkendte brugere mulighed for at afvikle kommandoer via et netværk. Ligeledes adresseret i QuMagie 2.2.1 og nyere.
- CVE-2023-41287 - En SQL-injection sårbarhed i Video Station, der kan gøre det muligt for brugere at injicere ondsindet kode via et netværk (adresseret i Video Station 5.7.2 og nyere)
- CVE-2023-41288 - En command injection-sårbarhed i operativsystemet i Video Station, der kan gør det muligt for brugere at udføre kommandoer via et netværk (adresseret i Video Station 5.7.2 og nyere)
- CVE-2022-43634 - En uautoriseret ’remote code execution’ i Netatalk, der kan give angribere mulighed for at udføre vilkårlig kode (Behandlet i QTS 5.1.3.2578 build 20231110 og QuTS hero h5.1.3.25378 build 102)
Der er ikke rapporter om, at fejlene er blevet udnyttet in-the-wild, men det anbefales, at der opdateres til nyeste version.
Links:
https://thehackernews.com/2024/01/alert-new-vulnerabilities-discovered-in.html