Bleeping Computer 网站消息,QNAP Systems 发布两个关键命令注入漏洞的安全警告。据悉,这两个漏洞会影响 QTS 操作系统的多个版本及其网络连接存储(NAS)设备上的应用程序。
创新互联坚持“要么做到,要么别承诺”的工作理念,服务领域包括:网站设计、成都网站制作、企业官网、英文网站、手机端网站、网站推广等服务,满足客户于互联网时代的正镶白网站设计、移动媒体设计的需求,帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴!
第一个漏洞被追踪为 CVE-2023-23368,严重性评级为 9.8(满分 10 分),是一个命令注入漏洞,远程网络攻击者可利用该漏洞通过网络执行命令,受该安全漏洞影响的 QTS 版本包括 QTS 5.0.x 和 4.5.x、QuTS hero h5.0.x 和 h4.5.x,以及 QuTScloud c5.0.1:
第二个漏洞被追踪为 CVE-2023-23369,严重性评级为 9.0(满分 10 分),远程网络攻击者可通过该漏洞达到与利用 CVE-2023-23368 漏洞相同的效果。受漏洞影响的 QTS 版本包括 5.1.x、4.3.6、4.3.4、4.3.3和4.2.x,多媒体控制台 2.1.x 和 1.4.x,以及媒体流插件 500.1.x 和 500.0.x:
建议:需要更新 QTS、QuTS hero 或 QuTScloud 的话,管理员可登录并导航至控制面板 > 系统 > 固件更新,然后点击实时更新下的 "检查更新",下载并安装最新版本,也可从 QNAP 网站手动下载更新。此外,管理员通过在应用程序中心查找安装并单击“更新”按钮,可以更新多媒体控制台。(更新媒体流插件的过程与上述步骤类似,管理员可以通过搜索应用程序中心来定位该插件)
鉴于NAS 设备经常被用来存储数据,因此命令执行漏洞可能会带来严重影响。网络犯罪分子在“寻找”到新受害目标后,会利用漏洞窃取或加密敏感数据,之后便可以向受害者索要赎金。
值得一提的是,QNAP 设备曾多次成为大规模勒索软件攻击的目标。一年前,Deadbolt 勒索软件团伙利用零日漏洞成功加密暴露在公共互联网上的 NAS 设备。因此,强烈建议 QNAP 用户尽快使用安全可靠的安全更新。
文章来源:https://www.bleepingcomputer.com/news/security/qnap-warns-of-critical-command-injection-flaws-in-qts-os-apps/#google_vignette
本文题目:警示!QNAPQTS操作系统和应用程序中存在高危漏洞
网站地址:http://www.shufengxianlan.com/qtweb/news42/544892.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联