Sintesi
Aggiornamenti di sicurezza QNAP risolvono alcune vulnerabilità, di cui 2 con gravità “alta” nei prodotti QTS e QuTS hero. Tra queste, si evidenzia la CVE-2024-27130 – di tipo Buffer Overflow: qualora un utente malevolo sia in possesso di un “ssid” valido (ricavabile tramite un URL di un collegamento condiviso valido) risulterebbe possibile eseguire codice arbitrario sui sistemi target tramite l’utilizzo di richieste contenenti il paramentro “name” opportunamente predisposto
Note: un Proof of Concept (PoC) per lo sfruttamento della CVE-2024-27130 risulta disponibile in rete.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (75,89/100)1.
Tipologia
- Arbitrary Code Execution
Prodotti e versioni affette
QNAP
- QTS 5.1.x, versioni precedenti alla 5.1.7.2770 build 20240520
- QuTS hero h5.1.x, versioni precedenti alla h5.1.7.2770 build 20240520
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti interessati seguendo le indicazioni riportate nei bollettini di sicurezza, disponibili nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”: