【安全圈】威联通NAS设备有严重的 PHP 漏洞，使其易受远程攻击

admin

138429
文章

113
评论

2022年6月25日13:56:32评论29 views字数 1055阅读3分31秒阅读模式

关键词

NAS、漏洞

国台湾著名厂商 QNAP 正在解决一个关键的PHP 漏洞，该漏洞追踪为 CVE-2019-11043（CVSS评分9.8分，满分10分），可被用来实现远程代码执行。

【安全圈】威联通NAS设备有严重的 PHP 漏洞，使其易受远程攻击

安全研究人员发现在 FPM 设置的某些配置中，有可能会触发与为 FCGI 协议数据保留的内存空间相关的缓冲区溢出，从而可能导致远程代码执行。

漏洞影响版本甚多

从 QNAP 发布的公告中来看，漏洞主要影响了配置不当 nginx 的 PHP 版本 7.1.x 以下7.1.33，7.2.x 以下7.2.24，和 7.3.x 以下 7.3.11。值得注意的是，如果黑客想要利用该漏洞，必须同时运行 nginx 和 php-fpm。

另外，虽然 QTS、QuTS hero 和 QuTScloud 默认没有安装 nginx，但如果用户 NAS 上安装并运行 nginx 和 php-fpm，其 QNAP NAS 仍有可能受到影响。”

CVE-2019-11043 漏洞主要影响使用以下 QNAP 操作系统版本的设备：

QTS 5.0.x及更高版本；

QTS 4.5.x及更高版本；

QuTS hero h5.0.x及更高版本；

QuTS hero h4.5.x及更高版本；

QuTScloud c5.0.x及更高版本。

QNAP 敦促用户尽快应用更新版本

目前，QNAP 指出，QTS、QuTS hero 或 QuTScloud 默认没有安装 nginx，出于这个原因，NAS 设备默认配置下不会受到影响。

供应商已在以下操作系统版本中解决了该漏洞，并将尽快发布其余操作系统版本的安全更新。

QTS 5.0.1.2034 build 20220515 及更高的版本；

QuTS hero h5.0.0.2069 build 20220614 及更高版本。

网络安全研究人员敦促 QNAP 客户保持其设备处于最新版本。QNAP 在 5 月也发布公告，警告客户新一波的 DeadBolt 勒索软件攻击可能来袭，敦促用户应用最新的安全更新。

最后，安全专家表示，有一个新的 ech0raix 勒索软件活动正在针对 QNAP 网络附加存储（NAS）设备。

END

【安全圈】威联通NAS设备有严重的 PHP 漏洞，使其易受远程攻击【安全圈】三部门：推行隐私面单、虚拟号码等技术，保障寄递用户隐私

【安全圈】威联通NAS设备有严重的 PHP 漏洞，使其易受远程攻击【安全圈】火绒安全与英特尔vPro平台合作，共筑软硬件协同安全新格局

【安全圈】威联通NAS设备有严重的 PHP 漏洞，使其易受远程攻击【安全圈】立陶宛对俄实施铁路货物禁令后遭到网络攻击

安全圈

←扫码关注我们

网罗圈内热点专注网络安全

实时资讯一手掌握！

好看你就分享有用就点个赞

支持「安全圈」就点个三连吧！

原文始发于微信公众号（安全圈）：【安全圈】威联通NAS设备有严重的 PHP 漏洞，使其易受远程攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

【安全圈】威联通NAS设备有严重的 PHP 漏洞，使其易受远程攻击

漏洞影响版本甚多

QNAP 敦促用户尽快应用更新版本

一图看懂国家安全领域全景

邮件攻击再升级：Microsoft Office 365 用户面临凭据窃取与恶意软件双重危机

军工研究院保密员被判无期

Linux USB音频驱动漏洞正被恶意USB设备在野利用

SideCopy APT组织伪装政府人员部署开源XenoRAT工具

俄罗斯遭 Paper Werewolf 新植入程序 PowerModul 高级网络攻击

npm包中的恶意代码：篡改加密钱包，AI代理安全新挑战

谷歌利用自动AI警报和恶意软件分析工具解决SOC过载问题

银狐变种引发的2025 年最大规模黑产攻击事件深度剖析

网安原创文章推荐【2025/4/12】

发表评论