QNAP, el fabricante taiwanés de dispositivos de almacenamiento conectado a la red (NAS), lanzó el viernes actualizaciones de seguridad para parchear nueve debilidades de seguridad, incluido un problema crítico que podría explotarse para hacerse cargo de un sistema afectado.
«Se informó que una vulnerabilidad afecta al NVR de la serie VS de QNAP que ejecuta QVR», QNAP dicho en un aviso. «Si se explota, esta vulnerabilidad permite a atacantes remotos ejecutar comandos arbitrarios».
rastreado como CVE-2022-27588 (puntuación CVSS: 9,8), la vulnerabilidad se solucionó en QVR 5.1.6, compilación 20220401 y versiones posteriores. El Centro de Coordinación del Equipo de Respuesta a Emergencias Informáticas de Japón (JPCERT/CC, por sus siglas en inglés) es el responsable de informar sobre la falla.
Aparte de la deficiencia crítica, QNAP también ha resuelto tres errores de gravedad alta y cinco de gravedad media en su software:
- CVE-2021-38693 (Puntuación CVSS: 5.3) – A vulnerabilidad de cruce de ruta en thttpd que afecta a los dispositivos QNAP que ejecutan QTS, QuTS hero, QuTScloud y QVR Pro Appliance, lo que lleva a la divulgación de información
- CVE-2021-44051 (Puntuación CVSS: 8.8) – A vulnerabilidad de inyección de comandos en dispositivos QNAP que ejecutan QTS, QuTS hero y QuTScloud, lo que resulta en la ejecución de comandos arbitrarios
- CVE-2021-44052 (Puntuación CVSS: 6.5) – Un vulnerabilidad de resolución de enlace incorrecta antes del acceso al archivo («seguimiento del enlace») en dispositivos QNAP que ejecutan QTS, QuTS hero y QuTScloud, lo que permite a los atacantes leer/escribir archivos en ubicaciones de archivos arbitrarias
- CVE-2021-44053 (Puntuación CVSS: 5.7) – A Vulnerabilidad de secuencias de comandos entre sitios (XSS) en dispositivos QNAP que ejecutan QTS, QuTS hero y QuTScloud, lo que conduce a la inyección de código
- CVE-2021-44054 (Puntuación CVSS: 4.3) – Un vulnerabilidad de redirección abierta en dispositivos QNAP que ejecutan QTS, QuTS hero y QuTScloud, lo que permite redirigir a los usuarios a páginas web no autorizadas
- CVE-2021-44055 (Puntuación CVSS: 5.3) – A vulnerabilidad de autorización faltante en dispositivos QNAP que ejecutan Video Station, lo que permite a los atacantes acceder a datos o realizar acciones no autorizadas
- CVE-2021-44056 (Puntuación CVSS: 7.1) – Un vulnerabilidad de autenticación incorrecta en dispositivos QNAP que ejecutan Video Station, lo que lleva a comprometer el sistema
- CVE-2021-44057 (Puntuación CVSS: 7.1) – Un vulnerabilidad de autenticación incorrecta en dispositivos QNAP que ejecutan Photo Station, lo que lleva a comprometer el sistema
