Vulnerabilidad de inyección de código en dispositivos QNAP

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a QTS y QuTS hero de QNAP, que permitiría a un atacante remoto realizar inyección de código en el sistema afectado. 

La vulnerabilidad identificada como CVE-2022-27596, de severidad crítica, con puntuación de 9.8. Esta vulnerabilidad se debe a una falla de validación de entradas del usuario en QTS y QuTS hero. Esto permitiría a un atacante remoto realizar inyección de código SQL (SQLi) en sistema afectado. 

Los productos afectados son: 

• QTS, versión 5.0.1y previas a 5.0.1.2234.   
• QuTS hero, versión h5.0.1 y previas a h5.0.1.2248. 

Recomendamos acceder a las actualizaciones provistas por el fabricante teniendo en cuenta los siguientes pasos: 

• Iniciar sesión en QTS o QuTS hero como administrador. 
• Ir a Control panel (Panel de control) > System (Sistema) > Firmware update (Actualización de firmware). 
• En Live Update (Actualización en directo), hacer clic en Check for Update (Buscar actualizaciones). 
• QTS o QuTS hero descargará e instalará la última actualización disponible. 

Adicionalmente, es posible descargar la actualización y aplicarlo manualmente desde el siguiente enlace: 

• https://www.qnap.com/es-es/download  

Referencias: 

• https://securityonline.info/cve-2022-27596-qnap-patches-critical-vulnerability-in-qnap-devices/ 
• https://nvd.nist.gov/vuln/detail/CVE-2022-27596 
• https://www.qnap.com/en/security-advisory/qsa-23-01  
• https://www.qnap.com/es-es/download