Cabecera-v2-web.jpg

Vulnerabilidad de inyección de comandos en Video Station de QNAP


08/06/2021

Una vulnerabilidad clasificada como crítica fue encontrada en QNAP Video Station. La vulnerabilidad existe debido a una validación de entrada incorrecta. Un atacante remoto no autenticado puede pasar datos especialmente diseñados a la aplicación y ejecutar comandos arbitrarios en el sistema de destino.

La vulnerabilidad fue publicada el 03 de junio del 2021 por QNAP con identificación qsa-21-21. La vulnerabilidad fue identificada como CVE-2021-28812. El ataque puede hacerse con el control del equipo desde Internet, en el caso de estar publicado. Para explotarla se requiere una autenticación, es decir, el atacante debe contar con un usuario, aunque es suficiente con un usuario con privilegios limitados. No se conocen los detalles técnicos ni existe ningún exploit disponible aún.

Sistemas afectados:

  • QTS 4.5.2: Video Station 5.5.4 y posterior
  • QuTS hero h4.5.2: Video Station 5.5.4 y posterior
  • QuTScloud c4.5.4: Video Station 5.5.4 y posterior

Impacto:

La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

Recomendaciones:

  • Para corregir la vulnerabilidad, recomendamos actualizar Video Station a la última versión:
  • Actualización de Video Station
    • Inicie sesión en QTS o QuTS hero como administrador.
    • Abra el App Center y luego haga clic en .
      • Aparece un cuadro de búsqueda.
    • Escriba “Video Station” y luego presione ENTER.
      • Video Station aparece en los resultados de la búsqueda.
    • Haga clic en Actualizar.
      • Aparece un mensaje de confirmación.
      • Nota: El botón Actualizar no está disponible si su Video Station ya está actualizado.
    • Haga clic en Aceptar.


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11