El fabricante QNAP ha lanzado actualizaciones de seguridad para corregir vulnerabilidades, se han reportado incluido dos de severidad “alta”, que afectan a los sistemas operativos QTS y QuTS Hero. Estas vulnerabilidades podría permitir a un actor malicioso realizar la ejecución de código arbitrario en los sistemas afectados.
Productos o ítems afectados:
- QTS 5.1.x < 5.1.7.2770 (compilación 20240520)
- QuTS Hero h5.1.x < h5.1.7.2770 (compilación 20240520)
Impacto de la vulnerabilidad:
- CVE-2024-27130: Se ha asignado una puntuación en CVSSv3 de 7.2, de severidad alta, vulnerabilidad del tipo desbordamiento de búfer (BoF), la falla se produce por una falta de verificación de tamaño de entrada que afecta a diversas versiones del sistema operativo QNAP NAS. Esto podría permitir a un actor malicioso la ejecución de código remoto (RCE) por parte de un actor malicioso.
- CVE-2024-27127: Se ha asignado una puntuación en CVSSv3 de 7.2, de severidad alta, es una vulnerabilidad de doble liberación que afecta a varias versiones del sistema operativo QNAP (QTS y QuTS hero). Esto podría permitir a usuarios autenticados malintencionados ejecutar código arbitrario de forma remota (RCE).
Recomendación:
Se recomienda a los administradores de las versiones de los productos QNAP afectados por las vulnerabilidades, actualizar sus sistemas a las versiones más recientes.
Enlaces de referencia: