Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- QTS versions 4.2.x antérieures à 4.2.6 build 20240131
- QTS versions 4.3.4 antérieures à 4.3.4.2675 build 20240131
- QTS versions 4.3.x antérieures à 4.3.3.2644 build 20240131
- QTS versions 4.3.x postérieures à 4.3.5 et antérieures à 4.3.6.2665 build 20240131
- QTS versions 4.4.x antérieures à 4.5.4.2627 build 20231225
- QTS versions 5.x.x antérieures à 5.1.5.2645 build 20240116
- QuTS hero versions h4.x antérieures à h4.5.4.2626 build 20231225
- QuTS hero versions h5.x.x antérieures à h5.1.5.2647 build 20240118
- QuTScloud versions c5.x antérieures à c5.1.5.2651
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Qnap. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Contournement provisoire
S’il n’est pas possible de procéder à l’installation d’une version corrigeant la vulnérabilité, se référer aux mesures de contournement proposées par l’éditeur à la section Mitigation.
Documentation
- Bulletin de sécurité Qnap QSA-23-57 du 13 février 2024 https://www.qnap.com/fr-fr/security-advisory/qsa-23-57
- Référence CVE CVE-2023-47218 https://www.cve.org/CVERecord?id=CVE-2023-47218
- Référence CVE CVE-2023-50358 https://www.cve.org/CVERecord?id=CVE-2023-50358