聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
从 QNAP Notes Station 3(该公司NAS系统中所用的记笔记和协作应用)版本开始,受如下两个漏洞的影响:
QNAP 已在 Notes Station 3 版本3.9.7中修复了这些问题,并建议用户更新至该版本或后续版本以缓解该风险。该安全公告还发布了更新指南。公告中还提到了两个漏洞CVE-2024-38644和CVE-2024-38646,它们是高危的(CVSSv4评分分别为8.7和8.4)命令注入和越权数据访问问题,要求高级别访问权限才能利用。
QNAP修复的第三个严重漏洞是CVE-2024-48860,影响 QuRouter 2.4.x 产品、QNAP的高速安全路由器系列产品。该漏洞的CVSS v4评分为9.5,是“严重”级别的OS命令注入漏洞,可导致远程攻击者在主机系统上执行命令。QNAP还修复了另外一个严重级别稍低的命令注入漏洞CVE-2024-48861,这两个漏洞均已在QuRouter版本2.4.3.106中修复。
QNAP还修复了AI Core(AI引擎)、QuLog Center(日志管理工具)、QTS(NAS设备的标准OS)和QuTS Hero(QTS的高阶版本)中的漏洞。这些产品中最重要的漏洞概述如下,CVSS v4评分介于7.7至8.7,属于高危级别。
-
CVE-2024-38647:信息泄露漏洞,可导致远程攻击者获得对敏感数据的访问权限并攻陷系统安全。该漏洞影响 QNAP AI Core 3.4.x版本,已在3.4.1及之后版本中修复。
-
CVE-2024-48862:链接跟随 (link-following) 缺陷,可导致远程越权攻击者遍历文件系统并访问或修改文件,影响 QuLog Center 1.7.x 和 1.8.x 版本,已在1.7.0.831和1.8.0.888中修复。
-
CVE-2024-50396和CVE-2024-50397:对外部控制的格式字符串处理不当,可导致攻击者访问敏感数据或修改内存。CVE-2024-50396可遭远程利用,操控系统内存;而CVE-2024-50397要求用户级别的访问权限。这两个漏洞已在 QTS 5.2.1.2930和QuTS hero h5.2.1.2929中修复。
强烈建议QNAP客户尽快安装这些更新,以防遭攻击。QNAP设备永远不应直接连接到互联网,而应当获得VPN保护,阻止对漏洞的远程利用。
原文始发于微信公众号(代码卫士):QNAP修复NAS、路由器软件中的严重漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论