CVE-2021-32513
QSAN Storage Manager - Command Injection Following via QsanTorture function
En resumen
QSAN Storage Manager no valida correctamente un parámetro de la función QsanTorture, permitiendo que atacantes remotos sin autenticación inyecten y ejecuten comandos arbitrarios en el servidor. Esto es crítico porque proporciona control total del sistema de almacenamiento.
Detalle técnico
Vulnerabilidad de inyección de comandos (CWE-78) en la función QsanTorture debido a validación insuficiente de parámetros especiales. Atacantes remotos no autenticados pueden inyectar comandos del sistema operativo a través de parámetros sin filtrar, logrando ejecución arbitraria de código con privilegios del sistema. Corregido en versión v3.3.3.
Resumen generado y traducido por IA a partir de la descripción oficial.
QsanTorture in QSAN Storage Manager does not filter special parameters properly that allows remote unauthenticated attackers to inject and execute arbitrary commands. The referred vulnerability has been solved with the updated version of QSAN Storage Manager v3.3.3.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
QSAN · Storage Manager¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →