QNAP varoittaa haavoittuvuuksista sen NAS-ohjelmistotuotteissa, mukaan lukien QTS, QuTS hero, QuTScloud ja myQNAPcloud, jotka saattavat sallia hyökkääjien pääsyn laitteisiin.
Taiwanilainen verkkoon liitettävien tallennuslaitteiden (NAS) valmistaja paljasti kolme haavoittuvuutta, jotka voivat johtaa todennuksen ohittamiseen, komentoinjektioon ja SQL-injektioon.
Vaikka viimeiset kaksi vaativat, että hyökkääjät ovat autentikoituneet kohdejärjestelmässä, mikä merkittävästi vähentää riskiä, ensimmäistä (CVE-2024-21899) voidaan suorittaa etänä ilman autentikointia ja se on merkitty ”matalan kompleksisuuden” haavoittuvuudeksi.
QNAP warns of vulnerabilities in its NAS software products, including QTS, QuTS hero, QuTScloud, and myQNAPcloud, that could allow attackers to access devices. The Taiwanese Network Attached Storage (NAS) device maker disclosed three vulnerabilities that can lead to an authentication bypass, command injection, and SQL injection. While the last two require the attackers to be authenticated on the target system, which significantly lessens the risk, the first (CVE-2024-21899) can be executed remotely without authentication and is marked as ”low complexity
