[TLP:CLEAR] QNAP opravuje 28 zraniteľností v rôznych produktoch
QNAP opravuje 28 zraniteľností v produktoch QNAP Photo, QuRouter, Notes Station 3, QuLog Center, AI Core, QTS a QuTS Hero [2][3][4][5][7][8][10][11][13][15][18][17]. Jednotlivé produkty a ich opravené verzie: QNAP Photo - 6.4.3 [2][3][4][5] QNAP QuRouter - 2.4.3.103 [7][8] QNAP Notes Station - 3.9.7 [10][11] QNAP QuLog Center - 1.7.0.831, 1.8.0.888 [13] QNAP AI Core - 3.4.1 [15] QNAP QTS - 5.2.1.2930 build 20241025 [18] QNAP QuTS Hero - h5.2.1.2929 build 20241025 [17]
Autentizovanému vzdialenému útočníkovi je v QNAP Photo Station umožnené vykonať XSS útok [1][2][3][4][5].
Zraniteľnosť sa nachádza v produkte QNAP Photo Station vo verziách vo verziách >=6.4 AND <6.4.3
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N
Viac informácií:
- CVE-2024-32767 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-32768 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-32769 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-32770 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 22. 11. 2024.
Neautentizovanému vzdialenému útočníkovi je v QNAP QuRouter umožnené neoprávnene vykonávať príkazy [6][7][8].
Zraniteľnosť sa nachádza v produkte QNAP QuRouter vo verziách vo verziách >=2.4 AND <2.4.3.106
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-48860 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-48861 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 22. 11. 2024.
Neautentizovanému vzdialenému útočníkovi je v QNAP Notes Station 3 umožnené neoprávnene pristupovať ku kritickej funkcionalite, pomocou ktorej môže získať prístup do systému postihnutého stroja [9][10].
Zraniteľnosť sa nachádza v produkte QNAP Notes Station 3 vo verziách vo verziách >=3.9 AND <3.9.7
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Viac informácií:
- CVE-2024-38643 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-306: Missing Authentication for Critical Function at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 23. 11. 2024.
Autentizovanému vzdialenému útočníkovi je v QNAP Notes Station 3 umožnené spúšťať ľubovolné príkazy v operačnom systéme postihnutého stroja [9][11].
Zraniteľnosť sa nachádza v produkte QNAP Notes Station 3 vo verziách vo verziách >=3.9 AND <3.9.7
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-38644 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 22. 11. 2024.
Neautentizovanému vzdialenému útočníkovi je v QNAP QuLog Center umožnené neoprávnene pristupovať do ľubovolných lokácií na súborovom systéme [12][13].
Zraniteľnosť sa nachádza v produkte QNAP QuLog Center vo verziách vo verziách (>=1.7 AND <1.7.0.831) OR (>=1.8 AND <1.8.0.888)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-48862 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-59: Improper Link Resolution Before File Access ('Link Following') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 22. 11. 2024.
Neautentizovanému vzdialenému útočníkovi je v QNAP AI Core umožnené obísť zabezpečenie systému [14][15].
Zraniteľnosť sa nachádza v produkte QNAP AI Core vo verziách vo verziách >=3.4 AND <3.4.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L
Viac informácií:
- CVE-2024-38647 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-540: Inclusion of Sensitive Information in Source Code at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 22. 11. 2024.
Autentizovanému vzdialenému útočníkovi je v QNAP QTS a Quts Hero umožnené pristupovať k potenciálne citlivým dátam a prepisovať údaje v pamäti [16][17].
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-50397 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-134: Use of Externally-Controlled Format String at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 23. 11. 2024.
Neautentizovanému vzdialenému útočníkovi je v QNAP QTS a Quts Hero umožnené pristupovať k potenciálne citlivým dátam a prepisovať údaje v pamäti [16][18].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-50396 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-134: Use of Externally-Controlled Format String at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 23. 11. 2024.
Odkazy
- [1] https://www.qnap.com/en/security-advisory/qsa-24-39
- [2] https://www.cve.org/CVERecord?id=CVE-2024-32767
- [3] https://www.cve.org/CVERecord?id=CVE-2024-32768
- [4] https://www.cve.org/CVERecord?id=CVE-2024-32769
- [5] https://www.cve.org/CVERecord?id=CVE-2024-32770
- [6] https://www.qnap.com/en/security-advisory/qsa-24-44
- [7] https://www.cve.org/CVERecord?id=CVE-2024-48860
- [8] https://www.cve.org/CVERecord?id=CVE-2024-48861
- [9] https://www.qnap.com/en/security-advisory/qsa-24-36
- [10] https://www.cve.org/CVERecord?id=CVE-2024-38643
- [11] https://www.cve.org/CVERecord?id=CVE-2024-38644
- [12] https://www.qnap.com/en/security-advisory/qsa-24-46
- [13] https://www.cve.org/CVERecord?id=CVE-2024-48862
- [14] https://www.qnap.com/en/security-advisory/qsa-24-40
- [15] https://www.cve.org/CVERecord?id=CVE-2024-38647
- [16] https://www.qnap.com/en/security-advisory/qsa-24-43
- [17] https://www.cve.org/CVERecord?id=CVE-2024-50397
- [18] https://www.cve.org/CVERecord?id=CVE-2024-50396
Publikoval Martin Krajči dňa 6. 12. 2024.
