← volver
CVE-2020-2509

Command Injection Vulnerability in QTS and QuTS hero

CVSS 9.8 CRITICALEPSS 34.2%● KEVCWE-77CWE-78
En resumen

Un fallo en los sistemas operacionales QTS y QuTS hero permite que atacantes ejecuten comandos no autorizados en dispositivos afectados. Es crítico porque puede darle al atacante control total del sistema.

Detalle técnico

Vulnerabilidad de inyección de comandos en QTS y QuTS hero permite que atacantes ejecuten comandos arbitrarios del sistema operativo a través de validación insuficiente de entrada en parámetros de la aplicación. La explotación exitosa resulta en compromiso total del sistema con ejecución de código sin restricciones.

Resumen generado y traducido por IA a partir de la descripción oficial.
A command injection vulnerability has been reported to affect QTS and QuTS hero. If exploited, this vulnerability allows attackers to execute arbitrary commands in a compromised application. We have already fixed this vulnerability in the following versions: QTS 4.5.2.1566 Build 20210202 and later QTS 4.5.1.1495 Build 20201123 and later QTS 4.3.6.1620 Build 20210322 and later QTS 4.3.4.1632 Build 20210324 and later QTS 4.3.3.1624 Build 20210416 and later QTS 4.2.6 Build 20210327 and later QuTS hero h4.5.1.1491 build 20201119 and later
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
QNAP Systems Inc. · QTSQNAP Systems Inc. · QuTS hero
PoCs públicas encontradas1
githubgithub.com/jbaines-r7/overkill14
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-2509https://www.qnap.com/en/security-advisory/qsa-21-05