QNAP QTS 和 QuTS hero 都是QNAP NAS 使用的操作系统,可运行用于文件管理、虚拟化、监控、多媒体等用途的应用程序。经过优化的内核和各种服务可高效管理系统资源、为应用程序提供支持并保护数据。

近日,奇安信CERT监测到QNAP发布QNAP QTS和QuTS hero SQL注入漏洞(CVE-2022-27596)通告,QNAP QTS 5.0.1和QuTS hero h5.0.1中存在SQL注入漏洞,未经身份认证的远程攻击者可以利用此漏洞注入恶意代码。此漏洞仅影响QNAP QTS 5.0.1和QuTS hero h5.0.1,建议客户尽快做好自查及防护。

漏洞名称

QNAP QTS QuTS hero SQL注入漏洞

公开时间

2023-01-29

更新时间

2023-02-01

CVE编号

CVE-2022-27596

其他编号

QVD-2023-3207

威胁类型

代码执行

技术类型

SQL注入

厂商

QNAP

产品

QNAP QTS

QNAP QuTS hero

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

未发现

未公开

漏洞描述

QNAP QTS 5.0.1 和 QuTS hero h5.0.1中存在SQL注入漏洞,未经身份认证的远程攻击者可以利用此漏洞注入恶意代码。

影响版本

QNAP QTS == 5.0.1

QNAP QuTS hero == h5.0.1

不受影响版本

QNAP QTS >= 5.0.1.2234 build 20221201

QNAP QuTS hero >= h5.0.1.2248 build 20221215

其他受影响组件

威胁评估

漏洞名称

QNAP QTS 和 QuTS hero SQL注入漏洞

CVE编号

CVE-2022-27596

其他编号

QVD-2023-3207

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

未经身份认证的远程攻击者可以利用此漏洞注入恶意代码。

处置建议

目前,官方已发布安全修复版本,建议受影响的用户尽快升级至安全版本。

QNAP QTS >= 5.0.1.2234 build 20221201

QNAP QuTS hero >= h5.0.1.2248 build 20221215

更新 QNAP QTS 或 QuTS hero:

1、以管理员身份登录 QNAP QTS 或QuTS hero。

2、转到控制面板 > 系统 > 固件更新。

3、在实时更新里,单击检查更新。

提示:您也可以从 QNAP 网站下载更新。转到支持 > 下载中心,然后为您的特定设备执行手动更新。

参考资料

[1]https://www.qnap.com.cn/zh-cn/security-advisory/QSA-23-01

声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。