CVE-2024-53691
QTS, QuTS hero
En resumen
Una vulnerabilidad en sistemas operacionales QNAP permite que atacantes con acceso de usuario sigan enlaces simbólicos para acceder a archivos en ubicaciones no autorizadas. Esto podría llevar al acceso no autorizado a datos o archivos sensibles del sistema.
Detalle técnico
Una vulnerabilidad de seguimiento de enlaces (CWE-59) que afecta a QNAP QTS y QuTS hero permite que atacantes autenticados atraviesen el sistema de archivos más allá de los límites previstos explotando la validación inadecuada de objetivos de enlaces simbólicos. La explotación requiere acceso previo a nivel de usuario y puede resultar en acceso arbitrario a archivos con los privilegios del proceso afectado.
Resumen generado y traducido por IA a partir de la descripción oficial.
A link following vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow remote attackers who have gained user access to traverse the file system to unintended locations.
We have already fixed the vulnerability in the following versions:
QTS 5.1.8.2823 build 20240712 and later
QTS 5.2.0.2802 build 20240620 and later
QuTS hero h5.1.8.2823 build 20240712 and later
QuTS hero h5.2.0.2802 build 20240620 and later
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →