![qnap](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img/https://www.cert.gov.py/wp-content/uploads/2023/09/qnap.png)
Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a Legacy QTS y Multimedia Console de QNAP, que permitirían a un actor malicioso realizar ataques del tipo Buffer Overflow en el sistema afectado.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2023-23363 y CVE-2023-23364, ambas de severidad “Alta” y con puntuación asignada de 8.1. Estas vulnerabilidades del tipo Buffer Overflow se deben a una falla de comprobación de tamaño de entradas de los sistemas Legacy QTS y Multimedia Console de QNAP. Esto permitiría a un atacante remoto a través de vectores no especificados, realizar ejecución de código arbitrario en el sistema afectado.
Los productos afectados son:
- Legacy QTS, versiones 4.3.6, 4.3.4, 4.3.3 y 4.2.6.
- Multimedia Console, versiones 2.1 y 1.4.
Se recomienda tener en cuenta los siguientes pasos de actualización provistas por el fabricante:
Actualización de QTS
- Iniciar sesión en QTS como administrador.
- Ir al Panel de control > Actualización del firmware > del sistema.
- En la opción de Live Update, hacer clic en Buscar actualizaciones.
- El sistema descarga e instala la última actualización disponible.
También se puede descargar la actualización desde el sitio web de QNAP.
Actualización de Multimedia Console
- Iniciar sesión en QTS como administrador.
- Abrir App Center, a continuación, hacer clic en el buscador.
- Escribir en el cuadro de búsqueda «Multimedia Console», luego presionar ENTER.
- Una vez que se visualicen los resultados, hacer clic en Actualizar y aparecerá el mensaje de confirmación.
- Tener en cuenta que el botón Actualizar no estará disponible si la versión ya está actualizada.
Referencias:
- https://securityonline.info/cve-2023-23363-cve-2023-23364-high-severity-bugs-unveiled-in-qnaps-qts-multimedia-console/
- https://nvd.nist.gov/vuln/detail/CVE-2023-23363
- https://nvd.nist.gov/vuln/detail/CVE-2023-23364
- https://www.qnap.com/en/security-advisory/QSA-23-25
- https://www.qnap.com/en/security-advisory/QSA-23-29