漏洞描述:
QNAP Systems, Inc.(威联通科技)主要生产用于文件共享、虚拟化、存储管理和监控应用的网络附加存储(NAS)设备,近日监测到某些QNAP操作系统中修复了一个原型污染漏洞(CVE-2023-39296),其CVSSv3评分为7.5。该漏洞影响了QTS 和 QuTS Hero,可能导致远程威胁者使用类型不兼容的属性覆盖现有属性,从而可能导致系统崩溃,此外,QTS 和 QuTS Hero中还修复了一个OS命令注入漏洞(CVE-2023-39294,中危),经过身份验证的管理员用户可利用该漏洞远程执行命令。
影响范围:
QTS 5.1.x < QTS 5.1.3.2578 build 20231110
QuTS hero h5.1.x < QuTS hero h5.1.3.2578 build 20231110
安全措施:
升级版本
目前这些漏洞已经修复,受影响用户可升级到以下版本:
QTS 5.1.x >= QTS 5.1.3.2578 build 20231110
QuTS hero h5.1.x >= QuTS hero h5.1.3.2578 build 20231110
下载链接:
https://www.qnap.com/en/download
注:更新QTS 或QuTS hero步骤如下:
1.以管理员身份登录 QTS 或 QuTS hero;
2.转到【控制面板】>【系统】>【固件更新】;
3.在【实时更新】下,单击【检查更新】;
系统下载并安装最新的可用更新
临时措施:暂无
参考链接:
https://www.qnap.com/en/security-advisory/qsa-23-64
https://www.qnap.com/en/security-advisory/qsa-23-54
原文始发于微信公众号(飓风网络安全):【漏洞预警】QNAP QTS & QuTS Hero原型污染漏洞CVE-2023-39296
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论