QNAP 修复多款产品中的多个高危漏洞
2024-1-9 17:43:19 Author: mp.weixin.qq.com(查看原文) 阅读量:9 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

上周五,QNAP Systems 公司修复了多款产品中的十几个漏洞,其中一些漏洞是位于操作系统中的高危漏洞。

其中一个高危漏洞是CVE-2023-39296,是一个原型污染漏洞,可导致远程攻击者“通过具有不兼容类型的属性覆写现有属性,从而导致系统崩溃”。该漏洞影响 QTS 5.1.x 和 QuTS hero h5.1.x版本,已在 QTS 5.1.3.2578 BUILD 20231110和 QuTS hero h5.1.3.2578 build 20231110版本中修复。

这两个新版本还修复了位于 Netatalk 中的漏洞CVE-2022-43634,它可导致攻击者在无需认证的情况下远程执行任意代码。NIST 在安全公告中指出,“该漏洞位于 dsi_writeinit 函数中,是因为在将用户提供的数据复制到长度固定的堆缓冲区之前,缺乏对该数据的长度进行验证造成的。攻击者可利用该漏洞在 root 上下文中执行代码。”

QNAP 还为位于 Video Station 中的两个高危漏洞发布补丁,一个是SQL 注入漏洞 (CVE-2023-41287) ,一个是OS 命令注入漏洞 (CVE-2023-41288),它们可被在网络中利用。Video Station 5.7.2 修复了这两个漏洞。

其它两个远程可利用的高危漏洞CVE-2023-47599(XSS漏洞)和CVE-2023-47560(OS 命令注入漏洞)也在QuMagie 2.2.1中修复。

另外,QNAP 还修复了位于 ATS、QuTS hero、QcalAgent 和 QuMagie 中的多个中危和低危漏洞。

QNAP 公司并未提及这些漏洞是否已遭在野利用,不过该公司产品历来是攻击者严重的香饽饽。QNAP 素以NAS 和专业的网络视频录制 (NVR) 产品为人所知,除此以外,它还制造多种网络设备。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

CISA:FXC 路由器和 QNAP NVR 漏洞已遭在野利用

QNAP 修复两个严重的命令注入漏洞

QNAP正在紧急修复两个0day,影响全球超8万设备

QNAP 提醒用户修复 NAS 设备中的高危 Linux Sudo 漏洞

原文链接
https://www.securityweek.com/qnap-patches-high-severity-flaws-in-qts-video-station-qumagie-netatalk-products/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518617&idx=2&sn=6cbff27b3d2e598b07c8c757f85efbc9&chksm=ea94b8f3dde331e5928e7d56a7a350a64cc7d3b6e1dba9a6de9674d23f7150e1049b476b6c01&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh