Поставщик NAS QNAP Systems срочно выпустила исправления для не менее 24 уязвимостей во всем своем ассортименте продуктов, включая две уязвимости высокой степени серьезности, которые могут сделать возможным выполнение команд.
Несмотря на серьезность этих уязвимостей, QNAP не сообщила ни об одном случае реального использования этих ошибок. Этот шаг тайваньской компании является скорее превентивной мерой против потенциально очень разрушительных эксплойтов.
По данным Недели безопасности. Наиболее опасные уязвимости, также называемые CVE-2023-45025 и CVE-2023-39297, представляют собой ошибки внедрения команд в операционной системе. Эти ошибки присутствуют в версиях QTS 5.1.x и 4.5.x, версиях QuTS Hero h5.1.x и h4.5.x и QuTScloud версии 5.x. Пользователи могут манипулировать первым из них для выполнения команд по сети при определенных конфигурациях системы, а для успешного использования второго требуется аутентификация. Патч сейчас!
QNAP также выпустила исправления для двух дополнительных уязвимостей: CVE-2023-47567 и CVE-2023-47568. Эти уязвимости, которые можно использовать удаленно, присутствуют в QTS, QuTS Hero и QuTScloud, и для их успешной эксплуатации требуется аутентификация администратора. Первый представляет собой внедрение команды ОС, а второй — уязвимость внедрения SQL.
Все четыре из этих недостатков безопасности были исправлены в последних версиях QTS, QuTS Hero и QuTScloud. Также была исправлена еще одна серьезная уязвимость, CVE-2023-47564, затрагивающая версии Qsync Central 4.4.x и 4.3.x. Эта ошибка позволяет аутентифицированным пользователям читать или изменять важные ресурсы по сети.
В дополнение к этим уязвимостям высокой серьезности QNAP исправила несколько уязвимостей средней степени тяжести, которые могут привести к выполнению кода, DoS-атакам, выполнению команд, обходу ограничений, утечке конфиденциальных данных и внедрению кода.
Для получения более подробной информации об этих уязвимостях пользователям рекомендуется посетить страницу рекомендаций по безопасности QNAP. Другие работы из Нью-Йорка Брейкинга
Статья добавлена ботом, с использованием машинного перевода : https://nybreaking.com/category/tech/
