聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
其中一个高危漏洞是CVE-2023-39296,是一个原型污染漏洞,可导致远程攻击者“通过具有不兼容类型的属性覆写现有属性,从而导致系统崩溃”。该漏洞影响 QTS 5.1.x 和 QuTS hero h5.1.x版本,已在 QTS 5.1.3.2578 BUILD 20231110和 QuTS hero h5.1.3.2578 build 20231110版本中修复。
这两个新版本还修复了位于 Netatalk 中的漏洞CVE-2022-43634,它可导致攻击者在无需认证的情况下远程执行任意代码。NIST 在安全公告中指出,“该漏洞位于 dsi_writeinit 函数中,是因为在将用户提供的数据复制到长度固定的堆缓冲区之前,缺乏对该数据的长度进行验证造成的。攻击者可利用该漏洞在 root 上下文中执行代码。”
QNAP 还为位于 Video Station 中的两个高危漏洞发布补丁,一个是SQL 注入漏洞 (CVE-2023-41287) ,一个是OS 命令注入漏洞 (CVE-2023-41288),它们可被在网络中利用。Video Station 5.7.2 修复了这两个漏洞。
其它两个远程可利用的高危漏洞CVE-2023-47599(XSS漏洞)和CVE-2023-47560(OS 命令注入漏洞)也在QuMagie 2.2.1中修复。
另外,QNAP 还修复了位于 ATS、QuTS hero、QcalAgent 和 QuMagie 中的多个中危和低危漏洞。
QNAP 公司并未提及这些漏洞是否已遭在野利用,不过该公司产品历来是攻击者严重的香饽饽。QNAP 素以NAS 和专业的网络视频录制 (NVR) 产品为人所知,除此以外,它还制造多种网络设备。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~