QNAP سازنده تایوانی دستگاه‌های network-attached storage (NAS) روز چهارشنبه گفت که در حال اصلاح یک آسیب‌پذیری حیاتی PHP سه ساله است که می‌تواند برای اجرای کد از راه دور مورد سوءاستفاده قرار گیرد.
این شرکت گفت: آسیب‌پذیری مذکور نسخه‌های PHP 7.1.x تا قبل از 7.1.33، 7.2.x تا قبل از 7.2.24، و 7.3.x تا قبل 7.3.11 را با پیکربندی نادرست nginx تحت تأثیر قرار می‌دهد. در صورت بهره‌برداری موفق، این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا دسترسی به اجرای کد از راه دور را بدست آورند.

این آسیب‌پذیری که با عنوان CVE-2019-11043 ردیابی می‌شود، از نظر شدت در سیستم امتیازدهی آسیب‌پذیری CVSS دارای امتیاز 9.8 از 10 است.

این آسیب‌پذیری در دستگاه‌هایی وجود دارد که Nginx و php-fpm با استفاده از نسخه‌های سیستم‌عامل QNAP زیر در آن‌ها اجرا شده باشد:

• QTS 5.0.x و بالاتر
• QTS 4.5.x و بالاتر
• QuTS hero h5.0.x و بالاتر
• QuTS hero h4.5.x و بالاتر
• QuTScloud c5.0.x و بالاتر

از آنجایی که QTS، QuTS hero یا QuTScloud به طور پیش‌فرض nginx را نصب ندارند، QNAP NAS در حالت پیش‌فرض تحت‌تأثیر این آسیب‌پذیری قرار نمی‌گیرد، این شرکت گفته است که قبلاً این مشکل را در نسخه‌های سیستم‌عامل 5.0.1.2034 build 20220515 و QuTS hero h5.0.0.2069 build 20220614 برطرف کرده است.

این هشدار یک هفته پس از آن منتشر شد که QNAP فاش کرد که در حال بررسی کامل موج دیگری از حملات باج‌افزار DeadBolt است که دستگاه‌های QNAP NAS دارای نسخه‌های قدیمی QTS 4.x را هدف قرار می‌دهد.