QNAP سازنده دستگاههای network-attached storage (NAS)، روز جمعه بروزرسانیهای امنیتی را برای اصلاح 9 ضعف امنیتی منتشر کرد، از جمله یک نقص مهم که میتوان از آن برای کنترل سیستم آسیبدیده استفاده کرد.
QNAP در اطلاعیهای گفت: گزارش شده است که یک آسیبپذیری برخی محصولات را تحت تاثیر قرار می دهد که در صورت سوءاستفاده، این آسیبپذیری به مهاجمان راه دور اجازه میدهد تا دستورات دلخواه خود را اجرا کنند.
این آسیبپذیری که با عنوان CVE-2022-27588 ردیابی میشود (امتیاز CVSS: 9.8)، در نسخه QVR 5.1.6 بیلد 20220401 و نسخههای جدیدتر برطرف شده است. Japan Computer Emergency Response Team Coordination Center (JPCERT/CC) مسئول گزارش این نقص معرفی شده است.
علاوه بر این نقص مهم، QNAP همچنین سه باگ با شدت بالا و پنج باگ با شدت متوسط را در نرمافزار خود برطرف کرده است:
QNAP در اطلاعیهای گفت: گزارش شده است که یک آسیبپذیری برخی محصولات را تحت تاثیر قرار می دهد که در صورت سوءاستفاده، این آسیبپذیری به مهاجمان راه دور اجازه میدهد تا دستورات دلخواه خود را اجرا کنند.
این آسیبپذیری که با عنوان CVE-2022-27588 ردیابی میشود (امتیاز CVSS: 9.8)، در نسخه QVR 5.1.6 بیلد 20220401 و نسخههای جدیدتر برطرف شده است. Japan Computer Emergency Response Team Coordination Center (JPCERT/CC) مسئول گزارش این نقص معرفی شده است.
علاوه بر این نقص مهم، QNAP همچنین سه باگ با شدت بالا و پنج باگ با شدت متوسط را در نرمافزار خود برطرف کرده است:
- CVE-2021-38693 (امتیاز CVSS: 5.3) - یک آسیبپذیری path traversal در thttpd که بر دستگاههای QNAP دارای QTS، QuTS hero، QuTScloud و QVR Pro Appliance تأثیر میگذارد و منجر به افشای اطلاعات میشود.
- CVE-2021-44051 (CVSS امتیاز 8.8) یک آسیبپذیری command injection در دستگاههای QNAP که QTS، QuTS hero و QuTScloud را اجرا میکنند، که منجر به اجرای دستور دلخواه میشود.
- CVE-2021-44052 (CVSS امتیاز: 6.5) - یک آسیبپذیری improper link resolution before file access ("link following") در دستگاههای QNAP دارای QTS، QuTS hero، و QuTScloud که به مهاجمان اجازه میدهد فایلهایی در مکانهای دلخواه را بخوانند/بنویسند.
- CVE-2021-44053 (CVSS امتیاز: 5.7) - یک آسیبپذیری cross-site scripting (XSS) در دستگاههای QNAP دارای QTS، QuTS hero و QuTScloud که منجر به تزریق کد میشود.
- CVE-2021-44054 (CVSS امتیاز: 4.3) - یک آسیبپذیری open redirect در دستگاههای QNAP دارای QTS، QuTS hero و QuTScloud که هدایت کاربران را به صفحات وب مخرب ممکن میسازد.
- CVE-2021-44055 (CVSS امتیاز: 5.3) یک آسیبپذیری missing authorization در دستگاههای QNAP با اجرای Video Station و به مهاجمان اجازه دسترسی به دادهها یا انجام اقدامات غیرمجاز را میدهد.
- CVE-2021-44056 (CVSS امتیاز: 7.1) یک آسیبپذیری improper authentication در دستگاههای QNAP که Video Station را اجرا میکنند و منجر به بهخطر افتادن کل سیستم میشود.
- CVE-2021-44056 (CVSS امتیاز: 7.1) یک آسیبپذیری improper authentication در دستگاههای QNAP که Photo Station را اجرا میکنند و منجر به بهخطر افتادن کل سیستم میشود.