CVE-2023-23369
QTS, Multimedia Console, and Media Streaming add-on
En resumen
Una falla de seguridad en sistemas QNAP permite a atacantes ejecutar comandos no autorizados a través de la red explotando el manejo inadecuado de entrada del usuario. Es crítica porque le otorga al atacante control total del dispositivo afectado.
Detalle técnico
Vulnerabilidad de inyección de comandos del sistema operacional (CWE-77, CWE-78) que afecta QTS, Multimedia Console y Media Streaming add-on de QNAP debido a sanitización insuficiente de entrada. Vector de ataque remoto a través de la red sin autenticación requerida; la explotación exitosa permite la ejecución de comandos arbitrarios con privilegios del sistema.
Resumen generado y traducido por IA a partir de la descripción oficial.
An OS command injection vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow users to execute commands via a network.
We have already fixed the vulnerability in the following versions:
Multimedia Console 2.1.2 ( 2023/05/04 ) and later
Multimedia Console 1.4.8 ( 2023/05/05 ) and later
QTS 5.1.0.2399 build 20230515 and later
QTS 4.3.6.2441 build 20230621 and later
QTS 4.3.4.2451 build 20230621 and later
QTS 4.3.3.2420 build 20230621 and later
QTS 4.2.6 build 20230621 and later
Media Streaming add-on 500.1.1.2 ( 2023/06/12 ) and later
Media Streaming add-on 500.0.0.11 ( 2023/06/16 ) and later
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Productos afectados
QNAP Systems Inc. · Media Streaming add-onQNAP Systems Inc. · Multimedia ConsoleQNAP Systems Inc. · QTS¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →