QNAP QTS sérülékenységei


2017. április 10. 09:21

CH azonosító

CH-13977

Angol cím

QNAP QTS vulnerabilities

Felfedezés dátuma

2017.03.20.

Súlyosság

Magas

Érintett rendszerek

QNAP Systems

Érintett verziók

4.2.4 Build 20170313 előtti.

Összefoglaló

A QNAP QTS sérülékenységei váltak ismertté, melyeket kihasználva a támadó átveheti a rendszer feletti irányítást.

Leírás

A sérülékenységeket kihasználva a támadó kiterjesztett jogosultságokat szerezhet, tetszőleges vagy SQL parancsokat futtathat, XSS támadást és hamisítást hajthat végre, továbbá megkerülheti a biztonsági korlátozásokat, valamint tetszőleges kódot futtathat a rendszeren.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a 4.2.4 Build 20170313-as verzióra.

Támadás típusa

Cross Site Scripting (XSS/CSS)
Privilege escalation (jogosultság kiterjesztés)
SQL Injection
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute arbitrary code
execute code

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.qnap.com
CVE-2017-5227 - NVD CVE-2017-5227
CVE-2017-6361 - NVD CVE-2017-6361
CVE-2017-6360 - NVD CVE-2017-6360
CVE-2017-6359 - NVD CVE-2017-6359

Legfrissebb sérülékenységek
CVE-2024-20401 – Cisco Secure Email Gateway sérülékenysége
CVE-2024-20419 – Cisco Smart Software Manager On-Prem sérülékenysége
CVE-2024-21687 – Atlassian Bamboo Data Center és Server sérülékenysége
CVE-2024-6385 – GitLab CE/EE sérülékenysége
CVE-2024-22280 – VMware Aria Automation sérülékenysége
CVE-2024-6151 – Citrix Virtual Apps and Desktops sérülékenysége
CVE-2024-6235 – NetScaler Console sérülékenysége
CVE-2024-38080 – Windows Hyper-V sérülékenysége
CVE-2024-38112 – Windows MSHTML Platform sérülékenysége
CVE-2024-3596 – RADIUS Protocol RFC 2865 prefix collision sérülékenysége
Tovább a sérülékenységekhez »