QNAP QTS sérülékenységei


2017. április 10. 09:21

CH azonosító

CH-13977

Angol cím

QNAP QTS vulnerabilities

Felfedezés dátuma

2017.03.20.

Súlyosság

Magas

Érintett rendszerek

QNAP Systems

Érintett verziók

4.2.4 Build 20170313 előtti.

Összefoglaló

A QNAP QTS sérülékenységei váltak ismertté, melyeket kihasználva a támadó átveheti a rendszer feletti irányítást.

Leírás

A sérülékenységeket kihasználva a támadó kiterjesztett jogosultságokat szerezhet, tetszőleges vagy SQL parancsokat futtathat, XSS támadást és hamisítást hajthat végre, továbbá megkerülheti a biztonsági korlátozásokat, valamint tetszőleges kódot futtathat a rendszeren.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a 4.2.4 Build 20170313-as verzióra.

Támadás típusa

Cross Site Scripting (XSS/CSS)
Privilege escalation (jogosultság kiterjesztés)
SQL Injection
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute arbitrary code
execute code

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.qnap.com
CVE-2017-5227 - NVD CVE-2017-5227
CVE-2017-6361 - NVD CVE-2017-6361
CVE-2017-6360 - NVD CVE-2017-6360
CVE-2017-6359 - NVD CVE-2017-6359

Legfrissebb sérülékenységek
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
Tovább a sérülékenységekhez »