QNAP, fabricant taïwanais de périphériques de stockage en réseau (NAS), a publié vendredi des mises à jour de sécurité pour corriger neuf faiblesses de sécurité, y compris un problème critique qui pourrait être exploité pour prendre le contrôle d’un système affecté.
« Une vulnérabilité a été signalée comme affectant les NVR QNAP VS Series exécutant QVR, » QNAP mentionné dans un avis. « Si elle est exploitée, cette vulnérabilité permet à des attaquants distants d’exécuter des commandes arbitraires. »
Suivi comme CVE-2022-27588 (score CVSS : 9,8), la vulnérabilité a été corrigée dans QVR 5.1.6 build 20220401 et versions ultérieures. Le centre de coordination de l’équipe japonaise d’intervention d’urgence informatique (JPCERT/CC) est crédité d’avoir signalé la faille.
Outre la lacune critique, QNAP a également résolu trois bogues de gravité élevée et cinq bogues de gravité moyenne dans son logiciel –
- CVE-2021-38693 (Note CVSS : 5,3) – A vulnérabilité de traversée de chemin dans thttpd affectant les appareils QNAP exécutant QTS, QuTS hero, QuTScloud et QVR Pro Appliance, entraînant la divulgation d’informations
- CVE-2021-44051 (Note CVSS : 8,8) – A vulnérabilité d’injection de commande dans les appareils QNAP exécutant QTS, QuTS hero et QuTScloud, entraînant l’exécution de commandes arbitraires
- CVE-2021-44052 (score CVSS : 6,5) – Un vulnérabilité de résolution de lien incorrecte avant l’accès au fichier (« suivi de lien ») dans les appareils QNAP exécutant QTS, QuTS hero et QuTScloud, permettant aux attaquants de lire/écrire des fichiers dans des emplacements de fichiers arbitraires
- CVE-2021-44053 (score CVSS : 5,7) – A vulnérabilité de script intersite (XSS) dans les appareils QNAP exécutant QTS, QuTS hero et QuTScloud, conduisant à l’injection de code
- CVE-2021-44054 (score CVSS : 4,3) – Un vulnérabilité de redirection ouverte dans les appareils QNAP exécutant QTS, QuTS hero et QuTScloud, permettant de rediriger les utilisateurs vers des pages Web malveillantes
- CVE-2021-44055 (Note CVSS : 5,3) – A vulnérabilité d’autorisation manquante dans les appareils QNAP exécutant Video Station, permettant aux attaquants d’accéder aux données ou d’effectuer des actions non autorisées
- CVE-2021-44056 (score CVSS : 7,1) – Un vulnérabilité d’authentification incorrecte dans les appareils QNAP exécutant Video Station, entraînant une compromission du système
- CVE-2021-44057 (score CVSS : 7,1) – Un vulnérabilité d’authentification incorrecte dans les appareils QNAP exécutant Photo Station, entraînant une compromission du système