Múltiples vulnerabilidades en dispositivos QNAP 

QNAP ha informado de vulnerabilidades que afectan a varios de sus productos, que permitirían a un atacante realizar ejecución remota de código (RCE), leer o sobrescribir archivos y redirigir a los usuarios a una página que no es de confianza. 

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 3 (tres) de severidad “Media”. Las principales se detallan a continuación: 

  • CVE-2022-44051 de severidad alta, con una puntuación asignada de 8.8. Esta se debe a una inyección de comandos que afecta al NAS de QNAP que ejecuta QuTScloud, QuTS hero y QTS. Un atacante podría aprovechar esta vulnerabilidad y realizar ejecución remota de código (RCE) en los dispositivos afectados de Qnap
  • CVE-2021-44052 de severidad media, con una puntuación asignada de 6.5. Esta se debe a una falla de resolución de enlace antes del acceso a un archivo (‘Link Following’) que afecta al dispositivo QNAP que ejecuta QuTScloud, QuTS hero y QTS. Un atacante remoto podría aprovechar esta vulnerabilidad y realizar escalamiento de privilegios, ingresando al sistema de archivos en ubicaciones no deseadas 
  • CVE-2021-44053 de severidad media, con una puntuación asignada de 5.7. Esta se debe a una falla del tipo cross-site scripting (XSS) que afecta al dispositivo de QNAP que ejecuta QTS, QuTS hero y QuTScloud. Un atacante remoto podría aprovechar esta vulnerabilidad para inyectar código malicioso en los dispositivos afectados de Qnap

Para acceder a la lista completa de las vulnerabilidades subsanadas, acceder a este enlace

Las versiones del sistema operativo de QNAP afectadas son: 

  • QVR, versiones anteriores a 5.1.6 
  • Photo Station, versiones anteriores a 6.0.20 
  • Photo Station, versiones anteriores a 5.7.16 
  • Photo Station, versiones anteriores a 5.4.13 
  • QTS, versiones anteriores a 5.0.0.1986 build 20220324 
  • QTS, versiones anteriores a 4.5.4.1991 build 20220329 
  • QTS, versiones anteriores a 4.3.6.1965 build 20220302 
  • QTS, versiones anteriores a 4.3.4.1976 build 20220303 
  • QTS, versiones anteriores a 4.3.3.1945 build 20220303 
  • QTS, versiones anteriores a 4.2.6 build 20220304 
  • QuTS hero, versiones anteriores a h5.0.0.1986 build 20220324 
  • QuTS hero, versiones anteriores a h4.5.4.1971 build 20220310 
  • QuTScloud, versiones anteriores a c5.0.1.1998 

Recomendamos descargar e instalar la última versión provista por el fabricante en el siguiente enlace, realizando una actualización manual para su dispositivo específico. 

Referencias: 

Compartir: