Qnap corrige bugs de alta gravidade

A Qnap lançou patches para 24 vulnerabilidades nos seus produtos.

Duas das falhas reportadas foram rastreadas como CVE-2023-45025 e CVE-2023-39297 e descritas como falhas de injeção de comando do sistema operacional, afetando as versões 5.1.x e 4.5.x do QTS, as versões h5.1.x e h4.5.x do QuTS hero e o QuTScloud versão 5.x. Estas duas falhas de alta gravidade podem conduzir à execução de comandos.

A Qnap anunciou ainda patches para CVE-2023-47567 e CVE-2023-47568, duas falhas exploradas remotamente no QuTS hero e QuTScloud que exigem autenticação como administrador para uma exploração bem-sucedida. No primeiro caso é uma injeção de comando do sistema operacional; no caso da segunda é uma vulnerabilidade de injeção de SQL.

A Qnap resolveu ainda uma terceira vulnerabilidade de alta gravidade, rastreada como CVE-2023-47564 – que permite a utilizadores autenticados lerem ou modificarem recursos críticos. O bug foi resolvido através do lançamento do Qsync Central nas versões 4.4.0.15 e 4.3.0.11.

Foram ainda lançados patches para várias vulnerabilidades de gravidade média que podem culminar na execução de código, ataques DoS, execução de comandos, desvio de restrições, exfiltração de dados sensíveis e injeção de código.