QNAP修复NAS、路由器软件中的严重漏洞

admin 2024年11月26日22:51:40评论9 views字数 1286阅读4分17秒阅读模式

QNAP修复NAS、路由器软件中的严重漏洞聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

QNAP 在上周末发布安全通告,修复了多个漏洞,其中包括三个严重漏洞,用户应尽快予以修复。
QNAP修复NAS、路由器软件中的严重漏洞

从 QNAP Notes Station 3(该公司NAS系统中所用的记笔记和协作应用)版本开始,受如下两个漏洞的影响:

  • CVE-2024-38643:对关键函数缺少认证可导致远程攻击者获得越权访问权限并执行具体的系统函数。缺少正确的认证机制很可能导致攻击者在没有事先凭据的前提下利用该缺陷,从而导致系统遭攻陷(CVSS v4评分9.3,“严重”级别)。

  • CVE-2024-38645:服务器端请求伪造 (SSRF) 漏洞可导致具有认证凭据的远程攻击者发送操控服务器端行为的构造请求,可能暴露敏感的应用数据。

QNAP 已在 Notes Station 3 版本3.9.7中修复了这些问题,并建议用户更新至该版本或后续版本以缓解该风险。该安全公告还发布了更新指南。公告中还提到了两个漏洞CVE-2024-38644和CVE-2024-38646,它们是高危的(CVSSv4评分分别为8.7和8.4)命令注入和越权数据访问问题,要求高级别访问权限才能利用。

01
QuRouter 缺陷

QNAP修复的第三个严重漏洞是CVE-2024-48860,影响 QuRouter 2.4.x 产品、QNAP的高速安全路由器系列产品。该漏洞的CVSS v4评分为9.5,是“严重”级别的OS命令注入漏洞,可导致远程攻击者在主机系统上执行命令。QNAP还修复了另外一个严重级别稍低的命令注入漏洞CVE-2024-48861,这两个漏洞均已在QuRouter版本2.4.3.106中修复。

02
QNAP 修复其它漏洞

QNAP还修复了AI Core(AI引擎)、QuLog Center(日志管理工具)、QTS(NAS设备的标准OS)和QuTS Hero(QTS的高阶版本)中的漏洞。这些产品中最重要的漏洞概述如下,CVSS v4评分介于7.7至8.7,属于高危级别。

  • CVE-2024-38647:信息泄露漏洞,可导致远程攻击者获得对敏感数据的访问权限并攻陷系统安全。该漏洞影响 QNAP AI Core 3.4.x版本,已在3.4.1及之后版本中修复。

  • CVE-2024-48862:链接跟随 (link-following) 缺陷,可导致远程越权攻击者遍历文件系统并访问或修改文件,影响 QuLog Center 1.7.x 和 1.8.x 版本,已在1.7.0.831和1.8.0.888中修复。

  • CVE-2024-50396和CVE-2024-50397:对外部控制的格式字符串处理不当,可导致攻击者访问敏感数据或修改内存。CVE-2024-50396可遭远程利用,操控系统内存;而CVE-2024-50397要求用户级别的访问权限。这两个漏洞已在 QTS 5.2.1.2930和QuTS hero h5.2.1.2929中修复。

强烈建议QNAP客户尽快安装这些更新,以防遭攻击。QNAP设备永远不应直接连接到互联网,而应当获得VPN保护,阻止对漏洞的远程利用。

原文始发于微信公众号(代码卫士):QNAP修复NAS、路由器软件中的严重漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月26日22:51:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   QNAP修复NAS、路由器软件中的严重漏洞https://cn-sec.com/archives/3441081.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息