[TLP:CLEAR] QNAP opravuje vícero zranitelností ve svých produktech
QNAP opravuje několik zranitelností ve svých produktech. Nejzávažnější z nich naleznete níže. Produkty a jejich opravené verze: Video Station - 5.8.2 [1] Download Station - 5.8.6.283 (2024/06/21) [2] QuMagie - 2.3.1 [3] QuLog Center - 1.8.0.872 (2024/06/17), 1.7.0.827 (2024/06/17) [4] Helpdesk - 3.3.1 [5] Music Station - 5.4.0 [6] QVR Smart Client - 2.4.0.0570 [7] Notes Station 3 - 3.9.6 [8] QTS - 5.1.8.2823 build 20240712, 5.2.0.2782 build 20240601 [9] [10] [11] QuTS hero - h5.1.8.2823 build 20240712, h5.2.0.2782 build 20240601[9] [10] [11]
Autentizovanému vzdálenému útočníkovi je v produktu Video Station umožněno spustit libovolný příkaz v operačním systému prostřednictvím vstupu v aplikaci [1].
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L
Více informací:
- CVE-2023-47563 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 9. 2024.
Autentizovanému vzdálenému útočníkovi je v produktu Video Station umožněno vkládat škodlivý kód [1].
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2023-50360 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 9. 2024.
Autentizovanému vzdálenému útočníkovi je v produktu Download Station umožněno vkládat škodlivý kód [2].
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Více informací:
- CVE-2024-38640 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 9. 2024.
Autentizovanému lokálnímu útočníkovi je v produktu QuMagie umožněno ohrozit zabezpečení systému [3].
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-38642 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-295: Improper Certificate Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 9. 2024.
Neautentizovanému vzdálenému útočníkovi je v produktu QuLog Center umožněno vkládat škodlivý kód [4].
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:H/A:H
Více informací:
- CVE-2024-32762 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 9. 2024.
Autentizovanému vzdálenému útočníkovi je v produktu Helpdesk umožněno vkládat škodlivý kód [5].
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N
Více informací:
- CVE-2024-27125 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 9. 2024.
Neautentizovanému vzdálenému útočníkovi je v produktu Music Station umožněno ohrozit zabezpečení systému [6].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Více informací:
- CVE-2023-45038 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-287: Improper Authentication at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 9. 2024.
Autentizovanému lokálnímu útočníkovi je v produktu QVR Smart Client umožněno spouštět neautorizovaný kód či příkazy [7].
CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2022-27592 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-428: Unquoted Search Path or Element at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 9. 2024.
Autentizovanému vzdálenému útočníkovi je v produktu Notes Station 3 umožněno vkládat škodlivý kód [8].
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N
Více informací:
- CVE-2024-27122 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-27126 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 9. 2024.
Autentizovanému lokálnímu útočníkovi je v produktech QTS a QuTS hero umožněno vkládat škodlivé příkazy [9].
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-38641 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 9. 2024.
Neautentizovanému vzdálenému útočníkovi je v produktech QTS a QuTS hero umožněno vkládat škodlivé příkazy [10].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2023-34974 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 9. 2024.
Autentizovanému lokálnímu útočníkovi je v produktech QTS a QuTS hero umožněno přistupovat k datům nebo provádění akcí bez patřičných oprávnění [11].
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2023-39298 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-862: Missing Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 9. 2024.
Odkazy
- [1] https://www.qnap.com/en/security-advisory/qsa-24-24
- [2] https://www.qnap.com/en/security-advisory/qsa-24-35
- [3] https://www.qnap.com/en/security-advisory/qsa-24-34
- [4] https://www.qnap.com/en/security-advisory/qsa-24-30
- [5] https://www.qnap.com/en/security-advisory/qsa-24-29
- [6] https://www.qnap.com/en/security-advisory/qsa-24-25
- [7] https://www.qnap.com/en/security-advisory/qsa-24-22
- [8] https://www.qnap.com/en/security-advisory/qsa-24-21
- [9] https://www.qnap.com/en/security-advisory/qsa-24-33
- [10] https://www.qnap.com/en/security-advisory/qsa-24-32
- [11] https://www.qnap.com/en/security-advisory/qsa-24-28