Af Eskil Sørensen, 06/02/24
QNAP Systems, der bl.a. producerer NAS-løsninger, har udsendt rettelser sårbarheder på tværs af produktporteføljen, herunder to alvorlige fejl.
Det skriver Security Week.
Fejlene har id-numrene CVE-2023-45025 og CVE-2023-39297. De beskrives som OS command injection-fejl, der påvirker QTS-versionerne 5.1.x og 4.5.x, QuTS hero-versionerne h5.1.x og h4.5.x og QuTScloud version 5.x.
CVE-2023-45025 har en CVSS-score på 9,0 og kan ifølge QNAP udnyttes af brugere til at afvikle kommandoer via netværket under visse systemkonfigurationer. CVE-2023-39297 kræver godkendelse for at kunne blive udnyttet. Denne har en score på 8,8.
QNAP har også bekendtgjort, at der er rettelser til de mindre alvorlige fejl, CVE-2023-47567 og CVE-2023-47568, i QuTS hero og QuTScloud. Disse kræver godkendelse som administrator for at kunne blive udnyttet.
Alle fire fejl er blevet håndteret i forskellige versioner af QTeS og QuTS hero. Desuden er der rettet en række mindre alvorlige fejl.
Det fremgår ifølge Security Week, at fejlene ikke skulle være blevet udnyttet i angreb.
Links:
https://www.securityweek.com/qnap-patches-high-severity-bugs-in-qts-qsync-central/