QNAP QTS与QuTS hero SQL注入漏洞(CVE-2022-27596)通告
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
1月31日,绿盟科技CERT监测到QNAP官方发布了一个QNAP QTS与QuTS hero SQL注入漏洞,未经身份验证的远程攻击者可利用该漏洞在QNAP NAS设备上注入恶意代码,实现任意代码执行,CVSS评分为9.8,建议受影响的用户及时升级防护。QNAP Systems, Inc.主要生产网络附加存储设备,QTS与QuTS hero均采用Linux内核及ZFS文件系统,支持多种数据减量技术。
🎯
关键要点
- 2023年1月31日,绿盟科技CERT监测到QNAP发布了QTS与QuTS hero SQL注入漏洞(CVE-2022-27596)。
- 该漏洞允许未经身份验证的远程攻击者在QNAP NAS设备上注入恶意代码,实现任意代码执行,CVSS评分为9.8。
- QNAP Systems, Inc.主要生产网络附加存储设备,QTS和QuTS hero支持多种数据减量技术。
- 受影响版本包括QNAP QTS 5.0.1和QNAP QuTS hero h5.0.1,安全版本为QNAP QTS >= 5.0.1.2234和QNAP QuTS hero >= h5.0.1.2248。
- 建议受影响用户及时升级防护,官方已发布安全版本修复漏洞。
- 升级步骤包括以管理员身份登录,进入控制面板进行固件更新。
- 本安全公告仅描述安全问题,绿盟科技不承担因使用信息造成的后果和损失责任。
➡️
