CVE-2023-23368
QTS, QuTS hero, QuTScloud
En resumen
Un fallo en los sistemas operativos QNAP permite a los atacantes ejecutar comandos no autorizados en dispositivos afectados a través de la red. Esta es una vulnerabilidad crítica que podría dar a los atacantes control total del sistema.
Detalle técnico
Vulnerabilidad de inyección de comandos del sistema operativo (CWE-78) en QTS, QuTS hero y QuTScloud que permite ejecución remota de comandos sin autenticación por vectores de red. La vulnerabilidad afecta múltiples versiones del SO anteriores a las compilaciones parcheadas especificadas; su explotación resulta en ejecución arbitraria de código con privilegios del sistema.
Resumen generado y traducido por IA a partir de la descripción oficial.
An OS command injection vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow users to execute commands via a network.
We have already fixed the vulnerability in the following versions:
QTS 5.0.1.2376 build 20230421 and later
QTS 4.5.4.2374 build 20230416 and later
QuTS hero h5.0.1.2376 build 20230421 and later
QuTS hero h4.5.4.2374 build 20230417 and later
QuTScloud c5.0.1.2374 and later
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
QNAP Systems Inc. · QTSQNAP Systems Inc. · QuTScloudQNAP Systems Inc. · QuTS hero¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →