QNAP, fabricant taïwanais de périphériques de stockage en réseau (NAS), a publié vendredi des mises à jour de sécurité pour corriger neuf faiblesses de sécurité, dont un problème critique qui pourrait être exploité pour prendre le contrôle d’un système affecté. « Une vulnérabilité a été signalée comme affectant les NVR QNAP VS Series exécutant QVR », a déclaré QNAP dans un avis. « Si elle est exploitée, cette vulnérabilité permet à des attaquants distants d’exécuter des commandes arbitraires. » Suivie comme CVE-2022-27588 (score CVSS : 9,8), la vulnérabilité a été corrigée dans QVR 5.1.6 build 20220401 et versions ultérieures. Le centre de coordination de l’équipe japonaise d’intervention d’urgence informatique (JPCERT/CC) est crédité d’avoir signalé la faille. Outre la lacune critique, QNAP a également résolu trois bogues de gravité élevée et cinq bogues de gravité moyenne dans son logiciel – CVE-2021-38693 (score CVSS : 5,3) – Une vulnérabilité de traversée de chemin dans thttpd affectant les appareils QNAP exécutant QTS, QuTS hero, QuTScloud et QVR Pro Appliance, entraînant la divulgation d’informations

CVE-2021-44051 (score CVSS : 8,8) – Une vulnérabilité d’injection de commande dans les appareils QNAP exécutant QTS, QuTS hero et QuTScloud, entraînant l’exécution arbitraire de commandes

CVE-2021-44052 (score CVSS : 6,5) – Une résolution de lien incorrecte avant l’accès au fichier (« suivi de lien ») dans les appareils QNAP exécutant QTS, QuTS hero et QuTScloud, permettant aux attaquants de lire/écrire des fichiers dans des emplacements de fichiers arbitraires

CVE-2021-44053 (score CVSS : 5,7) – Une vulnérabilité de script intersite (XSS) dans les appareils QNAP exécutant QTS, QuTS hero et QuTScloud, entraînant l’injection de code

CVE-2021-44054 (score CVSS : 4,3) – Une vulnérabilité de redirection ouverte dans les appareils QNAP exécutant QTS, QuTS hero et QuTScloud, permettant de rediriger les utilisateurs vers des pages Web malveillantes

CVE-2021-44055 (score CVSS : 5,3) – Une vulnérabilité d’autorisation manquante dans les appareils QNAP exécutant Video Station, permettant aux attaquants d’accéder aux données ou d’effectuer des actions non autorisées

CVE-2021-44056 (score CVSS : 7,1) – Une vulnérabilité d’authentification incorrecte dans les appareils QNAP exécutant Video Station, entraînant une compromission du système

CVE-2021-44057 (score CVSS : 7,1) – Une vulnérabilité d’authentification incorrecte dans les appareils QNAP exécutant Photo Station, entraînant une compromission du système

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *