Theo dõi dưới tên CVE-2023-23368 (điểm CVSS: 9.8), lỗ hổng này được mô tả là một lỗ hổng tiêm lệnh ảnh hưởng đến QTS, QuTS hero và QuTScloud.
"Nếu bị khai thác, lỗ hổng này có thể cho phép kẻ tấn công từ xa thực thi các lệnh qua mạng," công ty thông báo trong một tuyên bố được công bố vào cuối tuần.
Lỗ hổng này ảnh hưởng đến các phiên bản sau đây:
- QTS 5.0.x (Đã sửa trong QTS 5.0.1.2376 build 20230421 và sau đó)
- QTS 4.5.x (Đã sửa trong QTS 4.5.4.2374 build 20230416 và sau đó)
- QuTS hero h5.0.x (Đã sửa trong QuTS hero h5.0.1.2376 build 20230421 và sau đó)
- QuTS hero h4.5.x (Đã sửa trong QuTS hero h4.5.4.2374 build 20230417 và sau đó)
- QuTScloud c5.0.x (Đã sửa trong QuTScloud c5.0.1.2374 và sau đó)
QNAP cũng đã khắc phục một lỗ hổng tiêm lệnh khác trong QTS, Multimedia Console và Media Streaming add-on (CVE-2023-23369, điểm CVSS: 9.0) có thể cho phép kẻ tấn công từ xa thực thi các lệnh qua mạng.
Các phiên bản sau của phần mềm bị ảnh hưởng:
- QTS 5.1.x (Đã sửa trong QTS 5.1.0.2399 build 20230515 và sau đó)
- QTS 4.3.6 (Đã sửa trong QTS 4.3.6.2441 build 20230621 và sau đó)
- QTS 4.3.4 (Đã sửa trong QTS 4.3.4.2451 build 20230621 và sau đó)
- QTS 4.3.3 (Đã sửa trong QTS 4.3.3.2420 build 20230621 và sau đó)
- QTS 4.2.x (Đã sửa trong QTS 4.2.6 build 20230621 và sau đó)
- Multimedia Console 2.1.x (Đã sửa trong Multimedia Console 2.1.2 (2023/05/04) và sau đó)
- Multimedia Console 1.4.x (Đã sửa trong Multimedia Console 1.4.8 (2023/05/05) và sau đó)
- Media Streaming add-on 500.1.x (Đã sửa trong Media Streaming add-on 500.1.1.2 (2023/06/12) và sau đó)
- Media Streaming add-on 500.0.x (Đã sửa trong Media Streaming add-on 500.0.0.11 (2023/06/16) và sau đó)
Với lịch sử sử dụng các thiết bị QNAP cho các cuộc tấn công ransomware trong quá khứ, người dùng đang sử dụng một trong những phiên bản được đề cập ở trên được khuyến nghị cập nhật lên phiên bản mới nhất để giảm thiểu các mối đe doạ tiềm năng.
0 Nhận xét