[TLP:CLEAR] QNAP opravuje vícero zranitelností ve svých produktech

QNAP opravuje několik zranitelností ve svých produktech. Nejzávažnější z nich naleznete níže. Produkty a jejich opravené verze: Video Station - 5.8.2 [1] Download Station - 5.8.6.283 (2024/06/21) [2] QuMagie - 2.3.1 [3] QuLog Center - 1.8.0.872 (2024/06/17), 1.7.0.827 (2024/06/17) [4] Helpdesk - 3.3.1 [5] Music Station - 5.4.0 [6] QVR Smart Client - 2.4.0.0570 [7] Notes Station 3 - 3.9.6 [8] QTS - 5.1.8.2823 build 20240712, 5.2.0.2782 build 20240601 [9] [10] [11] QuTS hero - h5.1.8.2823 build 20240712, h5.2.0.2782 build 20240601[9] [10] [11]

Video Station - command injection (CVE-2023-47563) CVSS 7.4 (High)

Autentizovanému vzdálenému útočníkovi je v produktu Video Station umožněno spustit libovolný příkaz v operačním systému prostřednictvím vstupu v aplikaci [1].

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L

Více informací:

Zranitelnost byla veřejně oznámena 7. 9. 2024.

Video Station - SQL injection (CVE-2023-50360) CVSS 8.8 (High)

Autentizovanému vzdálenému útočníkovi je v produktu Video Station umožněno vkládat škodlivý kód [1].

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 7. 9. 2024.

Download Station - malicious code injection (CVE-2024-38640) CVSS 5.4 (Medium)

Autentizovanému vzdálenému útočníkovi je v produktu Download Station umožněno vkládat škodlivý kód [2].

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Více informací:

Zranitelnost byla veřejně oznámena 7. 9. 2024.

QuMagie - improper certificate validation (CVE-2024-38642) CVSS 7.8 (High)

Autentizovanému lokálnímu útočníkovi je v produktu QuMagie umožněno ohrozit zabezpečení systému [3].

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 7. 9. 2024.

QuLog Center - malicious code injection (CVE-2024-32762) CVSS 8.2 (High)

Neautentizovanému vzdálenému útočníkovi je v produktu QuLog Center umožněno vkládat škodlivý kód [4].

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 7. 9. 2024.

Helpdesk - malicious code injection (CVE-2024-27125) CVSS 3.5 (Low)

Autentizovanému vzdálenému útočníkovi je v produktu Helpdesk umožněno vkládat škodlivý kód [5].

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N

Více informací:

Zranitelnost byla veřejně oznámena 7. 9. 2024.

Music Station - system compromitation (CVE-2023-45038) CVSS 4.3 (Medium)

Neautentizovanému vzdálenému útočníkovi je v produktu Music Station umožněno ohrozit zabezpečení systému [6].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

Více informací:

Zranitelnost byla veřejně oznámena 7. 9. 2024.

QVR Smart Client - unauthorized code execution, command execution (CVE-2022-27592) CVSS 6.7 (Medium)

Autentizovanému lokálnímu útočníkovi je v produktu QVR Smart Client umožněno spouštět neautorizovaný kód či příkazy [7].

CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 7. 9. 2024.

Notes Station 3 - malicious code injection (CVE-2024-27122, CVE-2024-27126) CVSS 6.3 (Medium)

Autentizovanému vzdálenému útočníkovi je v produktu Notes Station 3 umožněno vkládat škodlivý kód [8].

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N

Více informací:

Zranitelnost byla veřejně oznámena 7. 9. 2024.

QTS a QuTS hero - arbitrary code execution (CVE-2024-38641) CVSS 7.8 (High)

Autentizovanému lokálnímu útočníkovi je v produktech QTS a QuTS hero umožněno vkládat škodlivé příkazy [9].

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 7. 9. 2024.

QTS a QuTS hero - malicious command injection (CVE-2023-34974) CVSS 8.8 (High)

Neautentizovanému vzdálenému útočníkovi je v produktech QTS a QuTS hero umožněno vkládat škodlivé příkazy [10].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 7. 9. 2024.

QTS a QuTS hero - data disclosure (CVE-2023-39298) CVSS 7.8 (High)

Autentizovanému lokálnímu útočníkovi je v produktech QTS a QuTS hero umožněno přistupovat k datům nebo provádění akcí bez patřičných oprávnění [11].

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 7. 9. 2024.


Publikovala Michaela Jarošová dne 19. 9. 2024.

CESNET CERTS Logo