Tilkynnt var um alvarlegan veikleika á dögunum í kerfum QTS og QuTS hero hjá QNAP. Veikleikinn hefur auðkennið CVE-2022-27596 [1] og hefur fengið CVSSv3 skor 9.8 [2,3].
Misnotkun á veikleikunum heimilar kóða innspýtingu af utanaðkomandi aðilum (e. remote code injection) [1,2].
Eftirfarandi kerfi eru veik fyrir gallanum [1]:
- QTS 5.0.1
- QuTS hero h5.0.1
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum [1]:
- QTS 5.0.1.2234 build 20221201 og nýrri
- QuTS hero h5.0.1.2248 build 20221215 og nýrri
CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu sem hefur lagfært þennan veikleika.
Tilvísanir:
[1] https://www.qnap.com/en/security-advisory/qsa-23-01
[2] https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-bug-letting-hackers-inject-malicious-code/
[3] https://nvd.nist.gov/vuln/detail/CVE-2022-27596
