CH azonosító
CH-13977Angol cím
QNAP QTS vulnerabilitiesFelfedezés dátuma
2017.03.20.Súlyosság
MagasÖsszefoglaló
A QNAP QTS sérülékenységei váltak ismertté, melyeket kihasználva a támadó átveheti a rendszer feletti irányítást.
Leírás
A sérülékenységeket kihasználva a támadó kiterjesztett jogosultságokat szerezhet, tetszőleges vagy SQL parancsokat futtathat, XSS támadást és hamisítást hajthat végre, továbbá megkerülheti a biztonsági korlátozásokat, valamint tetszőleges kódot futtathat a rendszeren.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen a 4.2.4 Build 20170313-as verzióra.
Támadás típusa
Cross Site Scripting (XSS/CSS)Privilege escalation (jogosultság kiterjesztés)
SQL Injection
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute arbitrary code
execute code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.qnap.com
CVE-2017-5227 - NVD CVE-2017-5227
CVE-2017-6361 - NVD CVE-2017-6361
CVE-2017-6360 - NVD CVE-2017-6360
CVE-2017-6359 - NVD CVE-2017-6359