CVE-2021-32512

QSAN Storage Manager - Command Injection Following via QuickInstall function

CVSS 9.8 CRITICALEPSS 2.1%CWE-78

En resumen

QuickInstall en QSAN Storage Manager no filtra correctamente los parámetros, permitiendo que atacantes no autenticados ejecuten cualquier comando en el servidor. Un atacante puede aprovechar esto enviando solicitudes especialmente diseñadas para asumir control total del sistema de almacenamiento.

Detalle técnico

La función QuickInstall en QSAN Storage Manager falla al desinfectar adecuadamente los parámetros suministrados por el usuario, permitiendo inyección de comandos del sistema operativo (CWE-78). Atacantes remotos no autenticados pueden inyectar comandos arbitrarios a través de parámetros sin filtrar; la explotación requiere acceso de red a la interfaz vulnerable. La ejecución exitosa otorga ejecución de comandos del sistema con los privilegios del servicio afectado.

Resumen generado y traducido por IA a partir de la descripción oficial.

QuickInstall in QSAN Storage Manager does not filter special parameters properly that allows remote unauthenticated attackers to inject and execute arbitrary commands. The referred vulnerability has been solved with the updated version of QSAN Storage Manager v3.3.3.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

QSAN · Storage Manager

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.twcert.org.tw/tw/cp-132-4868-75574-1.html