Risque(s)
- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
- Non spécifié par l'éditeur
Systèmes affectés
- Qnap Music Station versions 5.3.x antérieures à 5.3.22
- QTS 5.0.x versions antérieures à 5.0.1.2425 build 20230609
- QTS 5.1.x versions antérieures à 5.1.0.2444 build 20230629
- QTS 4.5.x versions antérieures à 4.5.4.2467 build 20230718
- QuTS hero h5.0.x versions antérieures à h5.0.1.2515 build 20230907
- QuTS hero h5.1.x versions antérieures à h5.1.0.2424 build 20230609
- QuTS hero h4.5.x versions antérieures à h4.5.4.2476 build 20230728
- QuTScloud c5.x versions antérieures à c5.1.0.2498
- QVPN Windows 2.1.x versions antérieures à 2.1.0.0518
- QVPN Windows 2.2.x versions antérieures à 2.2.0.0823
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Qnap. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Qnap QSA-23-28 du 07 octobre 2023
https://www.qnap.com/fr-fr/security-advisory/qsa-23-28 - Bulletin de sécurité Qnap QSA-23-26 du 07 octobre 2023
https://www.qnap.com/fr-fr/security-advisory/qsa-23-26 - Bulletin de sécurité Qnap QSA-23-37 du 07 octobre 2023
https://www.qnap.com/fr-fr/security-advisory/qsa-23-37 - Bulletin de sécurité Qnap QSA-23-36 du 07 octobre 2023
https://www.qnap.com/fr-fr/security-advisory/qsa-23-36 - Bulletin de sécurité Qnap QSA-23-39 du 07 octobre 2023
https://www.qnap.com/fr-fr/security-advisory/qsa-23-39 - Référence CVE CVE-2023-20032
https://www.cve.org/CVERecord?id=CVE-2023-20032 - Référence CVE CVE-2023-20052
https://www.cve.org/CVERecord?id=CVE-2023-20052 - Référence CVE CVE-2023-23365
https://www.cve.org/CVERecord?id=CVE-2023-23365 - Référence CVE CVE-2023-23366
https://www.cve.org/CVERecord?id=CVE-2023-23366 - Référence CVE CVE-2023-23370
https://www.cve.org/CVERecord?id=CVE-2023-23370 - Référence CVE CVE-2023-23371
https://www.cve.org/CVERecord?id=CVE-2023-23371 - Référence CVE CVE-2023-32971
https://www.cve.org/CVERecord?id=CVE-2023-32971 - Référence CVE CVE-2023-32972
https://www.cve.org/CVERecord?id=CVE-2023-32972