导读 NAS供应商QNAPSystems已对其产品系列中不少于24个漏洞紧急发布补丁,其中包括两个可能导致命令执行的高严重性缺陷。尽管这些漏洞非常严重,
NAS供应商QNAPSystems已对其产品系列中不少于24个漏洞紧急发布补丁,其中包括两个可能导致命令执行的高严重性缺陷。
尽管这些漏洞非常严重,但QNAP尚未报告任何此类漏洞被大规模利用的实例。这家公司的举动更多的是对潜在的极具破坏性的漏洞采取的主动措施。
据《安全周刊》报道,最受关注的漏洞(称为CVE-2023-45025和CVE-2023-39297)是操作系统命令注入缺陷。这些缺陷存在于QTS版本5.1.x和4.5.x、QuTSHero版本h5.1.x和h4.5.x以及QuTScloud版本5.x中。其中第一个可以由用户操纵,以在某些系统配置下通过网络执行命令,而第二个则需要身份验证才能成功利用。
QNAP还发布了另外两个漏洞的补丁:CVE-2023-47567和CVE-2023-47568。这些可远程利用的缺陷存在于QTS、QuTSHero和QuTScloud中,需要管理员身份验证才能成功利用。前者是操作系统命令注入漏洞,后者是SQL注入漏洞。
所有这四个安全缺陷都已在最新的QTS、QuTSHero和QuTScloud版本中得到解决。另一个影响QsyncCentral版本4.4.x和4.3.x的高严重性漏洞CVE-2023-475也已得到修补。此错误可能允许经过身份验证的用户通过网络读取或修改关键资源。
除了这些高严重性缺陷之外,QNAP还修复了多个中度严重性漏洞,这些漏洞可能导致代码执行、DoS攻击、命令执行、限制绕过、敏感数据泄露和代码注入。