CVE-2021-32512

QSAN Storage Manager - Command Injection Following via QuickInstall function

CVSS 9.8 CRITICALEPSS 2.1%CWE-78

Em resumo

O QuickInstall do QSAN Storage Manager não filtra parâmetros corretamente, permitindo que atacantes não autenticados executem qualquer comando no servidor. Um invasor pode explorar isso enviando requisições especiais para assumir controle total do sistema de armazenamento.

Detalhe técnico

A função QuickInstall no QSAN Storage Manager não sanitiza adequadamente parâmetros fornecidos pelo usuário, possibilitando injeção de comandos do sistema operacional (CWE-78). Atacantes remotos não autenticados podem injetar comandos arbitrários através de parâmetros não filtrados; a exploração requer acesso à rede pela interface vulnerável. A execução bem-sucedida resulta em execução de comandos do sistema com os privilégios do serviço afetado.

Resumo gerado e traduzido por IA a partir da descrição oficial.

QuickInstall in QSAN Storage Manager does not filter special parameters properly that allows remote unauthenticated attackers to inject and execute arbitrary commands. The referred vulnerability has been solved with the updated version of QSAN Storage Manager v3.3.3.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

QSAN · Storage Manager

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.twcert.org.tw/tw/cp-132-4868-75574-1.html