[TLP:CLEAR] QNAP opravuje 10 zranitelností

QNAP opravuje 10 zranitelností ve svých produktech [1][2][3]. Nejzávažnější z nich jsou popsány níže, zbývající naleznete na [1]. Produkty a jejich opravené verze: QTS - 5.1.9.2954 build 20241120 a 5.2.2.2950 build 20241114 [1] QuTS hero - h5.1.9.2954 build 20241120 a h5.2.2.2952 build 20241116 [1] License Center - 1.9.43 [2] Qsync Central - 4.4.0.16_20240819 (2024/08/19) [3]

QNAP QTS a QuTS hero - application data modification (CVE-2024-48868) CVSS 8.8 (High)

Neautentizovanému vzdálenému útočníkovi je v operačních systémech QTS a QuTS hero kvůli nedostatečné validaci vstupu umožněno neoprávněně modifikovat aplikační data [1].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 7. 12. 2024.

QNAP QTS a QuTS hero - command execution (CVE-2024-50393) CVSS 8.8 (High)

Neautentizovanému vzdálenému útočníkovi je v operačních systémech QTS a QuTS hero umožněno spouštět libovolné příkazy [1].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 7. 12. 2024.

QNAP QTS a QuTS hero - system security compromise (CVE-2024-48865) CVSS 8.6 (High)

Neautentizovanému lokálnímu útočníkovi je v operačních systémech QTS a QuTS hero kvůli nedostatečné validaci certifikátů umožněno kompromitovat bezpečnost systému [1].

CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 7. 12. 2024.

QNAP License Center - OS command execution (CVE-2024-48863)

Neautentizovanému vzdálenému útočníkovi je kvůli zranitelnosti v License Center umožněno spouštět libovolné příkazy v operačním systému stroje [2].

Zranitelnost se nachází v produktu License Center ve verzích >=1.9 AND <1.9.43.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 7. 12. 2024.

QNAP Qsync Central - unauthorized access (CVE-2024-50404)

Autentizovanému vzdálenému útočníkovi je po získání uživatelského přístupu v Qsync Central pomocí sociálního inženýrství umožněno procházet souborový systém aplikace [3].

Zranitelnost se nachází v produktu Qsync Central ve verzích >=4.4 AND <4.4.0.16_20240819.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H

Více informací:

Zranitelnost byla veřejně oznámena 7. 12. 2024.


Za CESNET-CERTS Michaela Ručková dne 6. 1. 2025.

CESNET CERTS Logo