Se han descubierto vulnerabilidades de severidad alta y crítica en productos Asustor. Un actor malicioso podría ejecutar código arbitrario y comprometer totalmente los sistemas afectados.
Productos afectados
Asustor Data Master (ADM):
- Versiones 4.1.0 hasta la 4.3.3.RR42.
- Versiones 5.0.0 hasta la 5.1.2.REO1.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-6644: con una puntuación de 9.4 en CVSS v4.0. Existe una vulnerabilidad de inyección de comandos del sistema operativo en los clientes VPN PPTP. Un actor malicioso remoto y autenticado con privilegios administrativos podría eludir el entorno web restringido para ejecutar código arbitrario en el sistema operativo subyacente.
CVE-2026-6643: con una puntuación de 8.6 en CVSS v4.0. Existe una vulnerabilidad de desbordamiento de búfer basado en pila en los clientes VPN. Un actor malicioso remoto y autenticado podría explotar el uso de funciones inseguras en el procesamiento de datos controlados por el usuario para ejecutar código arbitrario con los privilegios del servidor web.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias