Risques

  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • Container Station versions 5..6.x antérieures à 2.6.7.44
  • QTS hero versions h4.5.x antérieures à h4.5.4.2476 build 20230728
  • QTS hero versions h5.0.x antérieures à h5.0.1.2515 build 20230907
  • QTS hero versions h5.1.x antérieures à h5.1.0.2424 build 20230609
  • QTS versions 4.5.x antérieures à 4.5.4.2467 build 20230718
  • QTS versions 5.0.x antérieures à 5.0.1.2425 build 20230609
  • QTS versions 5.1.x antérieures à 5.1.0.2444 build 20230629
  • QuTScloud versions c5.x antérieures à c5.1.0.2498
  • Video Station versions 5.7.x antérieures à 5.7.0 (2023/07/27)

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Qnap. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation