QNAP แก้ไขช่องโหว่จำนวน 3 รายการใน NAS devices รวมถึงช่องโหว่ Authentication bypass
QNAP แก้ไขช่องโหว่จำนวน 3 รายการใน Network Attached Storage (NAS) devices ที่สามารถถูก exploit ได้ โดยมีช่องโหว่ 3 รายการดังนี้
- CVE-2024-21899 เป็นช่องโหว่ improper authentication ที่อาจทำให้ผู้ใช้งานสามารถ compromise ความปลอดภัยของระบบผ่านทางเครือข่ายได้
- CVE-2024-21900 เป็นช่องโหว่ injection อาจทำให้ผู้ใช้ที่ได้รับการตรวจสอบสิทธิสามารถ execute command ผ่านเครือข่ายได้
- CVE-2024-21901 เป็นช่องโหว่ SQL injection อาจทำให้ผู้ดูแลระบบที่ได้รับการรับรองความถูกต้องสามารถ inject malicious code ผ่านเครือข่ายได้
QNAP แนะนำให้ผู้ใช้งานอัพเดท QTS, QuTS hero, QuTScloud และ myQNAPcloud เป็นเวอร์ชั่นต่อไปนี้
- QTS 5.1.3.2578 build 20231110 และเวอร์ชั่นที่ใหม่กว่า
- QTS 5.4.2627 build 20231225 และเวอร์ชั่นที่ใหม่กว่า
- QuTS hero h5.1.3.2578 build 20231110 และเวอร์ชั่นที่ใหม่กว่า
- QuTS hero h4.5.4.2626 build 20231225 และเวอร์ชั่นที่ใหม่กว่า
- QuTScloud c5.1.5.2651 และเวอร์ชั่นที่ใหม่กว่า
- myQNAPcloud 1.0.52 (24/11/2023) และเวอร์ชั่นที่ใหม่กว่า
ที่มาของข่าว: https://securityaffairs.com/160217/iot/qnap-nas-products-flaws.html
