【安全资讯】严重的 PHP 漏洞使 QNAP NAS 设备容易受到远程攻击

台湾网络附加存储 (NAS) 设备制造商 QNAP 周三表示，它正在修复一个存在三年之久的关键 PHP 漏洞，该漏洞可能被滥用以实现远程代码执行。

“据报道，一个漏洞会影响 PHP 版本 7.1.x 低于 7.1.33、7.2.x 低于 7.2.24 和 7.3.x 低于 7.3.11，但 nginx 配置不正确，”硬件供应商在一份公告中表示。“如果被利用，该漏洞允许攻击者远程执行代码。”

该漏洞的编号为CVE-2019-11043，在 CVSS 漏洞评分系统中的严重性等级为 9.8 分（满分 10 分）。也就是说，要求 Nginx 和 php-fpm 在使用以下 QNAP 操作系统版本的设备中运行：

• QTS 5.0.x 及更高版本

• QTS 4.5.x 及更高版本

• QuTS hero h5.0.x 及更高版本

• QuTS hero h4.5.x 及更高版本

• QuTScloud c5.0.x 及更高版本

“由于 QTS、QuTS hero 或 QuTScloud 默认没有安装 nginx，QNAP NAS 在默认状态下不受此漏洞的影响，”该公司表示，并补充说它已经在操作系统版本 QTS 5.0.1.2034 build 20220515 中缓解了该问题和 QuTS hero h5.0.0.2069 build 20220614。

一周前，QNAP透露它正在“彻底调查”另一波针对运行过时 QTS 4.x 版本的 QNAP NAS 设备的DeadBolt 勒索软件攻击。

除了敦促客户升级到最新版本的 QTS 或 QuTS hero 操作系统外，它还建议这些设备不要暴露在互联网上。

此外，QNAP 已建议在升级固件后无法找到赎金记录的客户输入收到的 DeadBolt 解密密钥，以联系QNAP 支持寻求帮助。

参考链接：
[1]https://thehackernews.com/2022/06/critical-php-vulnerability-exposes-qnap.html