Se han identificado 15 nuevas vulnerabilidades en productos de QNAP. Estas vulnerabilidades podrían comprometer la seguridad de los sistemas afectados y ejecutar comandos arbitrarios.
Productos afectados
- QNAP Helpdesk: versiones 3.3.x y anteriores a la 3.3.3.
- QTS: versiones 5.2.x y anteriores a la compilación 5.2.3.3006 20250108.
- QuTS hero:versiones h5.2.x y anteriores a la h5.2.3.3006, compilación 20250108.
- QuRouter: versiones 2.4.x y anteriores a la 2.4.5.032.
Impacto
Las vulnerabilidades de severidad más altas se identifican como:
CVE-2024-50390: Puntuación CVSS 7.7. Esta vulnerabilidad podría permitir a actores maliciosos remotos ejecutar comandos arbitrarios en el sistema afectado, lo que podría resultar en una pérdida de datos, interrupción del servicio y comprometer la integridad del sistema.
CVE-2024-50394: Puntuación CVSS 7.7. Una vulnerabilidad de validación de certificados incorrecta que afecta al servicio de asistencia, que podría permitir a un actor malicioso remoto comprometer la seguridad del sistema, y resultar en el acceso no autorizado y comprometer la integridad de los datos.
CVE-2024-53693: Puntuación CVSS 7.1. Una vulnerabilidad de neutralización incorrecta de secuencias CRLF conocida como (‘Inyección CRLF’), que podría permitir a atacantes remotos obtener acceso de usuario y modificar los datos de la aplicación.
Recomendación
Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.
Referencias
https://www.qnap.com/en/security-advisory/qsa-24-54
https://www.qnap.com/en/security-advisories
https://www.qnap.com/en/security-advisory/qsa-25-05
https://www.qnap.com/en/security-advisory/qsa-25-01