Objet: Multiples vulnérabilités dans les produits Qnap

Risque(s)

• Non spécifié par l'éditeur
• Exécution de code arbitraire à distance
• Déni de service à distance
• Injection de code indirecte à distance (XSS)

Systèmes affectés

• QTS versions 5.1.x antérieures à 5.1.4.2596 build 20231128
• QuTS hero versions h5.1.x antérieures à h5.1.4.2596 build 20231128
• Video Station versions 5.7.x antérieures à 5.7.2
• QuMagie versions 2.2.x antérieures à 2.2.1
• QcalAgent versions 1.1.x antérieures à 1.1.8

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Qnap. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Qnap qsa-23-27 du 06 janvier 2024
  https://www.qnap.com/fr-fr/security-advisory/qsa-23-27
• Bulletin de sécurité Qnap qsa-23-22 du 06 janvier 2024
  https://www.qnap.com/fr-fr/security-advisory/qsa-23-22
• Bulletin de sécurité Qnap qsa-23-55 du 06 janvier 2024
  https://www.qnap.com/fr-fr/security-advisory/qsa-23-55
• Bulletin de sécurité Qnap qsa-23-32 du 06 janvier 2024
  https://www.qnap.com/fr-fr/security-advisory/qsa-23-32
• Bulletin de sécurité Qnap qsa-23-23 du 06 janvier 2024
  https://www.qnap.com/fr-fr/security-advisory/qsa-23-23
• Bulletin de sécurité Qnap qsa-23-54 du 06 janvier 2024
  https://www.qnap.com/fr-fr/security-advisory/qsa-23-54
• Bulletin de sécurité Qnap qsa-23-64 du 06 janvier 2024
  https://www.qnap.com/fr-fr/security-advisory/qsa-23-64
• Bulletin de sécurité Qnap qsa-23-34 du 06 janvier 2024
  https://www.qnap.com/fr-fr/security-advisory/qsa-23-34
• Référence CVE CVE-2023-45039
  https://www.cve.org/CVERecord?id=CVE-2023-45039
• Référence CVE CVE-2023-45040
  https://www.cve.org/CVERecord?id=CVE-2023-45040
• Référence CVE CVE-2023-45041
  https://www.cve.org/CVERecord?id=CVE-2023-45041
• Référence CVE CVE-2023-45042
  https://www.cve.org/CVERecord?id=CVE-2023-45042
• Référence CVE CVE-2023-45043
  https://www.cve.org/CVERecord?id=CVE-2023-45043
• Référence CVE CVE-2023-45044
  https://www.cve.org/CVERecord?id=CVE-2023-45044
• Référence CVE CVE-2022-43634
  https://www.cve.org/CVERecord?id=CVE-2022-43634
• Référence CVE CVE-2023-41287
  https://www.cve.org/CVERecord?id=CVE-2023-41287
• Référence CVE CVE-2023-41288
  https://www.cve.org/CVERecord?id=CVE-2023-41288
• Référence CVE CVE-2023-47219
  https://www.cve.org/CVERecord?id=CVE-2023-47219
• Référence CVE CVE-2023-47559
  https://www.cve.org/CVERecord?id=CVE-2023-47559
• Référence CVE CVE-2023-47560
  https://www.cve.org/CVERecord?id=CVE-2023-47560
• Référence CVE CVE-2023-39294
  https://www.cve.org/CVERecord?id=CVE-2023-39294
• Référence CVE CVE-2023-39296
  https://www.cve.org/CVERecord?id=CVE-2023-39296
• Référence CVE CVE-2023-41289
  https://www.cve.org/CVERecord?id=CVE-2023-41289