QNAP ha reportado vulnerabilidades en el software NAS, como QTS, QuTS hero, QuTScloud y myQNAPcloud, que podrían permitir a los atacantes acceder a los dispositivos.
Las mismas están identificadas como:
– CVE-2024-21899 (CVSS 9.8): Bypass de autenticación remota.
– CVE-2024-21900 (CVSS 4.3): Ejecución de comandos arbitrarios.
– CVE-2024-21901 (CVSS 4.7): Inyección de SQL malicioso.
Productos Afectados:
- QTS 5.1.x.
- QTS 4.5.x.
- QuTS hero h5.1.x.
- QuTS hero h4.5.x.
- QuTScloud c5.x.
- myQNAPcloud 1.0.x.
Recomendación:
Actualizar a las versiones siguientes que abordan las tres vulnerabilidades mencionadas.
- QTS 5.1.3.2578 compilación 20231110 y posteriores.
- QTS 4.5.4.2627 compilación 20231225 y posteriores.
- QuTS hero h5.1.3.2578 compilación 20231110 y posteriores.
- QuTS hero h4.5.4.2626 compilación 20231225 y posteriores.
- QuTScloud c5.1.5.2651 y posterior.
- myQNAPcloud 1.0.52 (24/11/2023) y posteriores.
Referencia