Risques
- Atteinte à la confidentialité des données
- Exécution de code arbitraire
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- QuFirewall versions 2.3.x antérieures à 2.3.3
- QuLog Center pour QTS 4.5.4 versions 1.3.x antérieures à 1.3.1.645
- QuLog Center pour QTS 5.0.1 versions 1.5.x antérieures à 1.5.0.738
- QuLog Center pour QuTS hero h4.5.4 versions 1.3.x antérieures à 1.3.1.645
- QuLog Center pour QuTS hero h5.0.1 versions 1.5.x antérieures à 1.5.0.738
- QuLog Center pour QuTscloud c5.0.1 versions 1.4.x antérieures à 1.4.1.691
- QVR Pro Client versions 2.3.x antérieures à 2.3.0.0420
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Qnap. Certaines d'entre elles permettent à un attaquant de provoquer une injection de code indirecte à distance (XSS), une atteinte à la confidentialité des données et une exécution de code arbitraire.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Qnap QSA-23-08 du 08 septembre 2023 https://www.qnap.com/fr-fr/security-advisory/qsa-23-08
- Bulletin de sécurité Qnap QSA-23-13 du 08 septembre 2023 https://www.qnap.com/fr-fr/security-advisory/qsa-23-13
- Bulletin de sécurité Qnap QSA-23-14 du 08 septembre 2023 https://www.qnap.com/fr-fr/security-advisory/qsa-23-14
- Bulletin de sécurité Qnap QSA-23-16 du 08 septembre 2023 https://www.qnap.com/fr-fr/security-advisory/qsa-23-16
- Référence CVE CVE-2022-27599 https://www.cve.org/CVERecord?id=CVE-2022-27599
- Référence CVE CVE-2023-23354 https://www.cve.org/CVERecord?id=CVE-2023-23354
- Référence CVE CVE-2023-23356 https://www.cve.org/CVERecord?id=CVE-2023-23356
- Référence CVE CVE-2023-23357 https://www.cve.org/CVERecord?id=CVE-2023-23357
