[TLP:CLEAR] QNAP opravuje 10 zranitelností
QNAP opravuje 10 zranitelností ve svých produktech [1][2][3]. Nejzávažnější z nich jsou popsány níže, zbývající naleznete na [1]. Produkty a jejich opravené verze: QTS - 5.1.9.2954 build 20241120 a 5.2.2.2950 build 20241114 [1] QuTS hero - h5.1.9.2954 build 20241120 a h5.2.2.2952 build 20241116 [1] License Center - 1.9.43 [2] Qsync Central - 4.4.0.16_20240819 (2024/08/19) [3]
Neautentizovanému vzdálenému útočníkovi je v operačních systémech QTS a QuTS hero kvůli nedostatečné validaci vstupu umožněno neoprávněně modifikovat aplikační data [1].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-48868 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 12. 2024.
Neautentizovanému vzdálenému útočníkovi je v operačních systémech QTS a QuTS hero umožněno spouštět libovolné příkazy [1].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-50393 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 12. 2024.
Neautentizovanému lokálnímu útočníkovi je v operačních systémech QTS a QuTS hero kvůli nedostatečné validaci certifikátů umožněno kompromitovat bezpečnost systému [1].
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-48865 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-295: Improper Certificate Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 12. 2024.
Neautentizovanému vzdálenému útočníkovi je kvůli zranitelnosti v License Center umožněno spouštět libovolné příkazy v operačním systému stroje [2].
Zranitelnost se nachází v produktu License Center ve verzích >=1.9 AND <1.9.43.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-48863 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 12. 2024.
Autentizovanému vzdálenému útočníkovi je po získání uživatelského přístupu v Qsync Central pomocí sociálního inženýrství umožněno procházet souborový systém aplikace [3].
Zranitelnost se nachází v produktu Qsync Central ve verzích >=4.4 AND <4.4.0.16_20240819.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H
Více informací:
- CVE-2024-50404 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-59: Improper Link Resolution Before File Access ('Link Following') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 12. 2024.
Odkazy
Za CESNET-CERTS Michaela Ručková dne 6. 1. 2025.