[TLP:CLEAR] QNAP opravuje 2 kritické a 1 vysoko závažnú zraniteľnosť
QNAP opravuje 2 kritické a 1 vysoko závažnú zraniteľnosť v produktoch QNAP OS (QTS, QuTS hero, QuTScloud) a myQNAPcloud [1]. Nižšie uvedené opravené verzie taktiež opravujú zraniteľnosti CVE-2024-21899, CVE-2024-21900 a CVE-2024-21901, o ktorých sme vás už informovali. Produkty a ich opravené verzie [1]: QTS - 5.1.3.2578 build 20231110, 4.5.4.2627 build 20231225 QuTS hero - h5.1.3.2578 build 20231110, h4.5.4.2626 build 20231225 QuTScloud - c5.1.5.2651 myQNAPcloud - 2.4.51
Neautentizovanému vzdialenému útočníkovi je v QTS, QuTS hero a QuTScloud umožnené neoprávnene spúšťať príkazy v operačnom systéme [2].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-32766 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 26. 4. 2024.
Neautentizovanému vzdialenému útočníkovi je v QTS, QuTS hero a QuTScloud umožnené neoprávnene spúšťať príkazy v operačnom systéme [3].
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-27124 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 26. 4. 2024.
Neautentizovanému vzdialenému útočníkovi je v myQNAPcloud Link umožnené neoprávnene využívať kritickú funkcionalitu [4].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:L
Viac informácií:
- CVE-2024-32764 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-306: Missing Authentication for Critical Function at cwe.mitre.org
- CWE-346: Origin Validation Error at cwe.mitre.org
- CWE-749: Exposed Dangerous Method or Function at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 26. 4. 2024.
Odkazy
Publikoval Martin Krajči dňa 29. 4. 2024.
