CVE-2023-23369
QTS, Multimedia Console, and Media Streaming add-on
Em resumo
Uma falha de segurança em sistemas QNAP permite que atacantes executem comandos não autorizados pela rede explorando o tratamento inadequado de entrada do usuário. É crítica porque dá ao atacante controle total do dispositivo afetado.
Detalhe técnico
Vulnerabilidade de injeção de comando do sistema operacional (CWE-77, CWE-78) afetando QTS, Multimedia Console e Media Streaming add-on da QNAP devido a sanitização insuficiente de entrada. Vetor de ataque remoto pela rede sem necessidade de autenticação; exploração bem-sucedida permite execução de comandos arbitrários com privilégios do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An OS command injection vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow users to execute commands via a network.
We have already fixed the vulnerability in the following versions:
Multimedia Console 2.1.2 ( 2023/05/04 ) and later
Multimedia Console 1.4.8 ( 2023/05/05 ) and later
QTS 5.1.0.2399 build 20230515 and later
QTS 4.3.6.2441 build 20230621 and later
QTS 4.3.4.2451 build 20230621 and later
QTS 4.3.3.2420 build 20230621 and later
QTS 4.2.6 build 20230621 and later
Media Streaming add-on 500.1.1.2 ( 2023/06/12 ) and later
Media Streaming add-on 500.0.0.11 ( 2023/06/16 ) and later
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
QNAP Systems Inc. · Media Streaming add-onQNAP Systems Inc. · Multimedia ConsoleQNAP Systems Inc. · QTSQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →