Поставщик NAS QNAP Systems выпустил срочные исправления для не менее 24 уязвимостей в своей линейке продуктов, включая две уязвимости высокой степени серьезности, которые могут сделать возможным выполнение команд.
Несмотря на серьезность этих уязвимостей, QNAP не сообщила ни об одном случае реального использования этих уязвимостей. Этот шаг тайваньской компании является скорее превентивной мерой против потенциально чрезвычайно вредоносных эксплойтов.
Соответственно Неделя безопасностиНаиболее опасные уязвимости, обозначенные как CVE-2023-45025 и CVE-2023-39297, представляют собой ошибки внедрения команд операционной системы. Эти дефекты возникают в версиях QTS 5.1.x и 4.5.x, версиях QuTS Hero h5.1.x и h4.5.x и QuTScloud версии 5.x. Пользователи могут манипулировать первым из них для выполнения команд по сети при определенных конфигурациях системы, а для успешного использования второго требуется аутентификация.
Патч сейчас!
QNAP также выпустила исправления для двух дополнительных уязвимостей: CVE-2023-47567 и CVE-2023-47568. Эти уязвимости, доступные для удаленного использования, существуют в QTS, QuTS Hero и QuTScloud, и для их успешной эксплуатации требуется аутентификация администратора. Первый вариант представляет собой внедрение команды ОС, а второй — уязвимость внедрения SQL.
Все четыре из этих недостатков безопасности были исправлены в последних версиях QTS, QuTS Hero и QuTScloud. Также была исправлена еще одна серьезная уязвимость, CVE-2023-47564, затрагивающая версии Qsync Central 4.4.x и 4.3.x. Эта уязвимость может позволить аутентифицированным пользователям читать или изменять важные ресурсы по сети.
В дополнение к этим уязвимостям высокой серьезности QNAP исправила несколько уязвимостей средней серьезности, которые могут привести к выполнению кода, DoS-атакам, выполнению команд, обходу ограничений, потере конфиденциальных данных и внедрению кода.
Для получения более подробной информации об этих уязвимостях пользователям рекомендуется посетить Страница информации о безопасности QNAP.
Больше от TechRadar Pro
