Hoppa yfir valmynd

Alvarlegur veikleiki í QTS og QuTS hero

31. jan. 2023

Tilkynnt var um alvarlegan veikleika á dögunum í kerfum QTS og QuTS hero hjá QNAP. Veikleikinn hefur auðkennið CVE-2022-27596 [1] og hefur fengið CVSSv3 skor 9.8 [2,3].

Misnotkun á veikleikunum heimilar kóða innspýtingu af utanaðkomandi aðilum (e. remote code injection) [1,2].

Eftirfarandi kerfi eru veik fyrir gallanum [1]:

  • QTS 5.0.1
  • QuTS hero h5.0.1


Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum [1]:

  • QTS 5.0.1.2234 build 20221201 og nýrri
  • QuTS hero h5.0.1.2248 build 20221215 og nýrri


CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu sem hefur lagfært þennan veikleika.

Tilvísanir:
[1] https://www.qnap.com/en/security-advisory/qsa-23-01
[2] https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-bug-letting-hackers-inject-malicious-code/
[3] https://nvd.nist.gov/vuln/detail/CVE-2022-27596