ГлавнаяБаза уязвимостей БДУ → BDU:2024-01874
6.5средняя

BDU:2024-01874

Уязвимость операционных систем QTS, QuTS Hero, QuTScloud и myQNAPcloud, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-03-11
Описание

Уязвимость операционных систем QTS, QuTS Hero, QuTScloud и myQNAPcloud связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
QTS (от 5.1.0 до 5.1.3.2578 build 20231110)QuTS hero (от h5.1.0 до h5.1.3.2578 build 20231110)QTS (от 4.5.0 до 4.5.4.2627 build 20231225)QuTS hero (от h4.5.0 до h4.5.4.2626 build 20231225)QuTScloud (от c5.0 до c5.1.5.2651)myQNAPcloud (от 1.0.0 до 1.0.52)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение доступа к устройствам Qnap из общедоступных сетей (Интернет);
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://www.qnap.com/en/security-advisory/qsa-24-09

Оценка CVSS
Балл6.5 — средняя опасность
Источники и патчи
https://www.qnap.com/en/security-advisory/qsa-24-09https://github.com/advisories/GHSA-8vmv-4hfm-2fv8
Проверьте безопасность своего сайта и почты → Полная проверка домена