CVE-2019-7193
CVE-2019-7193
Vexday Risk Score
83Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 9.8EPSS 14.4%KEV simPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
05 dez 2019Publicada no NVD
08 jun 2022Exploração ativa (CISA KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
Um sistema QNAP NAS não valida corretamente dados enviados pelo usuário, permitindo que invasores remotos injetem e executem código malicioso sem precisar estar autenticados. Isso é crítico porque dá ao atacante controle total do dispositivo.
Detalhe técnico
Vulnerabilidade CWE-20 de validação inadequada de entrada no QTS da QNAP permite injeção remota de código através de parâmetros não validados. O vetor de ataque é pela rede, sem exigência de autenticação; a exploração resulta em execução arbitrária de código com privilégios de sistema. A mitigação recomendada pela QNAP é atualizar para versões corrigidas do QTS.
Resumo gerado e traduzido por IA a partir da descrição oficial.
This improper input validation vulnerability allows remote attackers to inject arbitrary code to the system. To fix the vulnerability, QNAP recommend updating QTS to their latest versions.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · QNAP NAS devicesPoCs públicas encontradas — 1
cve_referencepacketstormsecurity.com/files/157857/QNAP-QTS-And-Photo-Station-6.0.3-Remote-Command-Execution.htmlnão verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →