QNAPSystems修复了包括CVE-2023-39296在内的十几个漏洞,涉及操作系统和应用软件,如Netatalk和VideoStation。这些漏洞可能导致远程攻击和代码执行。奇安信代码卫士提供了相关产品的安全更新和试用链接。
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
上周五,QNAP Systems 公司修复了多款产品中的十几个漏洞,其中一些漏洞是位于操作系统中的高危漏洞。
其中一个高危漏洞是CVE-2023-39296,是一个原型污染漏洞,可导致远程攻击者“通过具有不兼容类型的属性覆写现有属性,从而导致系统崩溃”。该漏洞影响 QTS 5.1.x 和 QuTS hero h5.1.x版本,已在 QTS 5.1.3.2578 BUILD 20231110和 QuTS hero h5.1.3.2578 build 20231110版本中修复。
这两个新版本还修复了位于 Netatalk 中的漏洞CVE-2022-43634,它可导致攻击者在无需认证的情况下远程执行任意代码。NIST 在安全公告中指出,“该漏洞位于 dsi_writeinit 函数中,是因为在将用户提供的数据复制到长度固定的堆缓冲区之前,缺乏对该数据的长度进行验证造成的。攻击者可利用该漏洞在 root 上下文中执行代码。”
QNAP 还为位于 Video Station 中的两个高危漏洞发布补丁,一个是SQL 注入漏洞 (CVE-2023-41287) ,一个是OS 命令注入漏洞 (CVE-2023-41288),它们可被在网络中利用。Video Station 5.7.2 修复了这两个漏洞。
其它两个远程可利用的高危漏洞CVE-2023-47599(XSS漏洞)和CVE-2023-47560(OS 命令注入漏洞)也在QuMagie 2.2.1中修复。
另外,QNAP 还修复了位于 ATS、QuTS hero、QcalAgent 和 QuMagie 中的多个中危和低危漏洞。
QNAP 公司并未提及这些漏洞是否已遭在野利用,不过该公司产品历来是攻击者严重的香饽饽。QNAP 素以NAS 和专业的网络视频录制 (NVR) 产品为人所知,除此以外,它还制造多种网络设备。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
CISA:FXC 路由器和 QNAP NVR 漏洞已遭在野利用
QNAP 提醒用户修复 NAS 设备中的高危 Linux Sudo 漏洞
原文链接
https://www.securityweek.com/qnap-patches-high-severity-flaws-in-qts-video-station-qumagie-netatalk-products/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
3054
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
