← voltar
CVE-2020-2509

Command Injection Vulnerability in QTS and QuTS hero

CVSS 9.8 CRITICALEPSS 34.2%● KEVCWE-77CWE-78
Em resumo

Uma falha no sistema operacional QTS e QuTS hero permite que atacantes executem comandos não autorizados em dispositivos afetados. É crítico porque pode dar ao atacante controle total do sistema.

Detalhe técnico

Vulnerabilidade de injeção de comando no QTS e QuTS hero permite que atacantes executem comandos arbitrários do sistema operacional através de validação insuficiente de entrada em parâmetros da aplicação. A exploração bem-sucedida resulta em comprometimento total do sistema com execução de código irrestrita.

Resumo gerado e traduzido por IA a partir da descrição oficial.
A command injection vulnerability has been reported to affect QTS and QuTS hero. If exploited, this vulnerability allows attackers to execute arbitrary commands in a compromised application. We have already fixed this vulnerability in the following versions: QTS 4.5.2.1566 Build 20210202 and later QTS 4.5.1.1495 Build 20201123 and later QTS 4.3.6.1620 Build 20210322 and later QTS 4.3.4.1632 Build 20210324 and later QTS 4.3.3.1624 Build 20210416 and later QTS 4.2.6 Build 20210327 and later QuTS hero h4.5.1.1491 build 20201119 and later
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
QNAP Systems Inc. · QTSQNAP Systems Inc. · QuTS hero
PoCs públicas encontradas1
githubgithub.com/jbaines-r7/overkill14
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-2509https://www.qnap.com/en/security-advisory/qsa-21-05