QNAP سازنده تایوانی دستگاههای network-attached storage (NAS) روز چهارشنبه گفت که در حال اصلاح یک آسیبپذیری حیاتی PHP سه ساله است که میتواند برای اجرای کد از راه دور مورد سوءاستفاده قرار گیرد.
این شرکت گفت: آسیبپذیری مذکور نسخههای PHP 7.1.x تا قبل از 7.1.33، 7.2.x تا قبل از 7.2.24، و 7.3.x تا قبل 7.3.11 را با پیکربندی نادرست nginx تحت تأثیر قرار میدهد. در صورت بهرهبرداری موفق، این آسیبپذیری به مهاجمان اجازه میدهد تا دسترسی به اجرای کد از راه دور را بدست آورند.
این آسیبپذیری که با عنوان CVE-2019-11043 ردیابی میشود، از نظر شدت در سیستم امتیازدهی آسیبپذیری CVSS دارای امتیاز 9.8 از 10 است.
این آسیبپذیری در دستگاههایی وجود دارد که Nginx و php-fpm با استفاده از نسخههای سیستمعامل QNAP زیر در آنها اجرا شده باشد:
این هشدار یک هفته پس از آن منتشر شد که QNAP فاش کرد که در حال بررسی کامل موج دیگری از حملات باجافزار DeadBolt است که دستگاههای QNAP NAS دارای نسخههای قدیمی QTS 4.x را هدف قرار میدهد.
این شرکت گفت: آسیبپذیری مذکور نسخههای PHP 7.1.x تا قبل از 7.1.33، 7.2.x تا قبل از 7.2.24، و 7.3.x تا قبل 7.3.11 را با پیکربندی نادرست nginx تحت تأثیر قرار میدهد. در صورت بهرهبرداری موفق، این آسیبپذیری به مهاجمان اجازه میدهد تا دسترسی به اجرای کد از راه دور را بدست آورند.
این آسیبپذیری که با عنوان CVE-2019-11043 ردیابی میشود، از نظر شدت در سیستم امتیازدهی آسیبپذیری CVSS دارای امتیاز 9.8 از 10 است.
این آسیبپذیری در دستگاههایی وجود دارد که Nginx و php-fpm با استفاده از نسخههای سیستمعامل QNAP زیر در آنها اجرا شده باشد:
- QTS 5.0.x و بالاتر
- QTS 4.5.x و بالاتر
- QuTS hero h5.0.x و بالاتر
- QuTS hero h4.5.x و بالاتر
- QuTScloud c5.0.x و بالاتر
این هشدار یک هفته پس از آن منتشر شد که QNAP فاش کرد که در حال بررسی کامل موج دیگری از حملات باجافزار DeadBolt است که دستگاههای QNAP NAS دارای نسخههای قدیمی QTS 4.x را هدف قرار میدهد.