Una vulnerabilidad clasificada como crítica fue encontrada en QNAP Video Station. La vulnerabilidad existe debido a una validación de entrada incorrecta. Un atacante remoto no autenticado puede pasar datos especialmente diseñados a la aplicación y ejecutar comandos arbitrarios en el sistema de destino.
La vulnerabilidad fue publicada el 03 de junio del 2021 por QNAP con identificación qsa-21-21. La vulnerabilidad fue identificada como CVE-2021-28812. El ataque puede hacerse con el control del equipo desde Internet, en el caso de estar publicado. Para explotarla se requiere una autenticación, es decir, el atacante debe contar con un usuario, aunque es suficiente con un usuario con privilegios limitados. No se conocen los detalles técnicos ni existe ningún exploit disponible aún.
Los sistemas afectados son: QTS 4.5.2: Video Station 5.5.4 y posterior, QuTS hero h4.5.2: Video Station 5.5.4 y posterior, QuTScloud c4.5.4: Video Station 5.5.4 y posterior
La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.
Para corregir la vulnerabilidad, recomendamos actualizar Video Station a la última versión:
- Actualización de Video Station
- Inicie sesión en QTS o QuTS hero como administrador.
- Abra el App Center y luego haga clic en
.
- Aparece un cuadro de búsqueda.
- Escriba “Video Station” y luego presione ENTER.
- Video Station aparece en los resultados de la búsqueda.
- Haga clic en Actualizar.
- Aparece un mensaje de confirmación.
- Nota: El botón Actualizar no está disponible si su Video Station ya está actualizado.
- Haga clic en Aceptar.
Información adicional: