QNAP ha informado de vulnerabilidades que afectan a varios de sus productos, que permitirían a un atacante realizar ejecución remota de código (RCE), leer o sobrescribir archivos y redirigir a los usuarios a una página que no es de confianza.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 3 (tres) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2022-44051 de severidad alta, con una puntuación asignada de 8.8. Esta se debe a una inyección de comandos que afecta al NAS de QNAP que ejecuta QuTScloud, QuTS hero y QTS. Un atacante podría aprovechar esta vulnerabilidad y realizar ejecución remota de código (RCE) en los dispositivos afectados de Qnap.
- CVE-2021-44052 de severidad media, con una puntuación asignada de 6.5. Esta se debe a una falla de resolución de enlace antes del acceso a un archivo (‘Link Following’) que afecta al dispositivo QNAP que ejecuta QuTScloud, QuTS hero y QTS. Un atacante remoto podría aprovechar esta vulnerabilidad y realizar escalamiento de privilegios, ingresando al sistema de archivos en ubicaciones no deseadas
- CVE-2021-44053 de severidad media, con una puntuación asignada de 5.7. Esta se debe a una falla del tipo cross-site scripting (XSS) que afecta al dispositivo de QNAP que ejecuta QTS, QuTS hero y QuTScloud. Un atacante remoto podría aprovechar esta vulnerabilidad para inyectar código malicioso en los dispositivos afectados de Qnap.
Para acceder a la lista completa de las vulnerabilidades subsanadas, acceder a este enlace.
Las versiones del sistema operativo de QNAP afectadas son:
- QVR, versiones anteriores a 5.1.6
- Photo Station, versiones anteriores a 6.0.20
- Photo Station, versiones anteriores a 5.7.16
- Photo Station, versiones anteriores a 5.4.13
- QTS, versiones anteriores a 5.0.0.1986 build 20220324
- QTS, versiones anteriores a 4.5.4.1991 build 20220329
- QTS, versiones anteriores a 4.3.6.1965 build 20220302
- QTS, versiones anteriores a 4.3.4.1976 build 20220303
- QTS, versiones anteriores a 4.3.3.1945 build 20220303
- QTS, versiones anteriores a 4.2.6 build 20220304
- QuTS hero, versiones anteriores a h5.0.0.1986 build 20220324
- QuTS hero, versiones anteriores a h4.5.4.1971 build 20220310
- QuTScloud, versiones anteriores a c5.0.1.1998
Recomendamos descargar e instalar la última versión provista por el fabricante en el siguiente enlace, realizando una actualización manual para su dispositivo específico.
Referencias: