QNAP bugün birkaç güvenlik tavsiyesi yayınladı. QNAP, NAS cihazında bulunan ve video çözümü olan QVR sistemlerinde rastgele komutların uzaktan yürütülmesine izin veren kritik güvenlik açığı hakkında bilgi verdi. Güvenlik açığı CVE-2022-27588 olarak izleniyor ve kritik önem derecesi 9.8 puan almış durumda. Zafiyet 5.1.6 20220401’den daha eski QVR sürümlerini etkiliyor. QNAP’ın danışma belgesi, “güvenlik açığının QVR çalıştıran QNAP VS Serisi NVR’yi etkilediği bildirildi. Bu güvenlik açığından yararlanılırsa, bu güvenlik açığı uzak saldırganların rastgele komutlar çalıştırmasına izin verir.” denildi.
QNAP birden çok zafiyet için güncelleme yayınladı
- CVE-2022-27588: Critical-severity RCE in QNAP QVR
- CVE-2021-38693: Medium-severity path traversal vulnerability in thttpd, affecting QTS, QuTS hero, and QuTScloud.
- CVE-2021-44055: Medium severity flaw allowing remote access of data in some Video Station versions.
- CVE-2021-44056: Medium severity flaw allowing remote access of data in some Video Station versions.
- CVE-2021-44057: High-severity vulnerability in QNAP NAS running Photo Station.
- CVE-2021-44051: High-severity command injection flaw that allows arbitrary remote command execution in QTS, QuTS hero, and QuTScloud.
- CVE-2021-44052: High-severity link resolution flaw that allows malicious file actions in QTS, QuTS hero, and QuTScloud.
- CVE-2021-44053: High-severity cross-site scripting (XSS) flaw that allows remote code injection in QTS, QuTS hero, and QuTScloud.
- CVE-2021-44054: High-severity open-redirect vulnerability that allows user redirection to a malware-laced page in QTS, QuTS hero, and QuTScloud.
QNAP, hafifletme yöntemlerini içeren kılavuz yayınladı. Bu nedenle önerilen QNAP cihazlarındaki yazılımları mevcut en son sürüme güncellemek.
Kaynak: bleepingcomputer.com