QNAP 修复多款产品中的多个高危漏洞

其中一个高危漏洞是CVE-2023-39296，是一个原型污染漏洞，可导致远程攻击者“通过具有不兼容类型的属性覆写现有属性，从而导致系统崩溃”。该漏洞影响 QTS 5.1.x 和 QuTS hero h5.1.x版本，已在 QTS 5.1.3.2578 BUILD 20231110和 QuTS hero h5.1.3.2578 build 20231110版本中修复。

这两个新版本还修复了位于 Netatalk 中的漏洞CVE-2022-43634，它可导致攻击者在无需认证的情况下远程执行任意代码。NIST 在安全公告中指出，“该漏洞位于 dsi_writeinit 函数中，是因为在将用户提供的数据复制到长度固定的堆缓冲区之前，缺乏对该数据的长度进行验证造成的。攻击者可利用该漏洞在 root 上下文中执行代码。”

QNAP 还为位于 Video Station 中的两个高危漏洞发布补丁，一个是SQL 注入漏洞 (CVE-2023-41287) ，一个是OS 命令注入漏洞 (CVE-2023-41288)，它们可被在网络中利用。Video Station 5.7.2 修复了这两个漏洞。

其它两个远程可利用的高危漏洞CVE-2023-47599（XSS漏洞）和CVE-2023-47560（OS 命令注入漏洞）也在QuMagie 2.2.1中修复。

另外，QNAP 还修复了位于 ATS、QuTS hero、QcalAgent 和 QuMagie 中的多个中危和低危漏洞。

QNAP 公司并未提及这些漏洞是否已遭在野利用，不过该公司产品历来是攻击者严重的香饽饽。QNAP 素以NAS 和专业的网络视频录制 (NVR) 产品为人所知，除此以外，它还制造多种网络设备。