Компания QNAP предупредила об уязвимостях, обнаруженных в составе QTS, QuTS hero, QuTScloud и myQNAPcloud. Эти проблемы позволяли злоумышленникам получить доступ к чужим устройствам.

Производитель исправил сразу три уязвимости, которые могли привести к обходу аутентификации, инъекциям команд и SQL-инъекциям. И если два последних бага требуют, чтобы злоумышленник был аутентифицирован в целевой системе, что значительно снижает риски, то первый  баг (CVE-2024-21899) можно эксплуатировать удаленно и без аутентификации.

В QNAP описывают уязвимости так:

  • CVE-2024-21899: недостаточные механизмы аутентификации позволяют неавторизованным пользователям удаленно нарушить безопасность системы;
  • CVE-2024-21900: аутентифицированные пользователи могут выполнять произвольные команды в системе через сеть, что потенциально может привести к несанкционированному доступу к системе или управлению ею;
  • CVE-2024-21901: позволяет аутентифицированным администраторам внедрять вредоносный SQL-код через сеть, что может привести к нарушению целостности БД и манипулированию ее содержимым.

Перечисленные уязвимости затрагивают различные версии операционных систем QNAP, включая QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x, а также сервис myQNAPcloud 1.0.x.

Пользователям рекомендуется как можно скорее обновиться до следующих версий, в которых устранены все три проблемы:

  • QTS 5.1.3.2578 20231110 и более поздние версии;
  • QTS 4.5.4.2627 20231225 и более поздние версии;
  • QuTS hero h5.1.3.2578 20231110 и более поздние версии;
  • QuTS hero h4.5.4.2626 20231225 и более поздние версии;
  • QuTScloud c5.1.5.2651 и более поздние версии;
  • myQNAPcloud 1.0.52 (2023/11/24) и более поздние версии.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии