← volver
CVE-2018-19949

CVE-2018-19949

CVSS 9.8 CRITICALEPSS 24.4%● KEVCWE-20CWE-77CWE-78
En resumen

Una vulnerabilidad de inyección de comandos en QNAP QTS permite a atacantes remotos ejecutar comandos arbitrarios en el dispositivo sin autenticación, pudiendo comprometer completamente el sistema.

Detalle técnico

Vulnerabilidad de inyección de comandos (CWE-20/77/78) en QTS de QNAP permite ejecución remota de código sin autenticación mediante validación inadecuada de entrada y construcción insegura de comandos shell. Vector de ataque por red sin requerir interacción del usuario. La explotación exitosa otorga privilegios totales de ejecución de comandos.

Resumen generado y traducido por IA a partir de la descripción oficial.
If exploited, this command injection vulnerability could allow remote attackers to run arbitrary commands. QNAP has already fixed the issue in the following QTS versions. QTS 4.4.2.1231 on build 20200302; QTS 4.4.1.1201 on build 20200130; QTS 4.3.6.1218 on build 20200214; QTS 4.3.4.1190 on build 20200107; QTS 4.3.3.1161 on build 20200109; QTS 4.2.6 on build 20200109.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
QNAP Systems Inc. · QTS

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2018-19949https://www.qnap.com/zh-tw/security-advisory/qsa-20-01