QNAP a corrigé trois vulnérabilités d’injection de commandes dans le logiciel QVR de gestion de vidéosurveillance. Deux d'entre elles ont un score de gravité critique de 9,8 sur 10.

Repérés sous les noms de CVE-2021-34351 et CVE-2021-34348, ces deux bugs critiques pourraient permettre à un attaquant distant d'exécuter des commandes sur les systèmes vulnérables, ce qui pourrait conduire à une prise de contrôle totale du dispositif.

La troisième faille corrigée, répertorié sous le nom de CVE-2021-34349, appartient à la même catégorie mais avec un score de gravité inférieur, 7,2 sur 10, due au fait que son exploitation nécessite des privilèges élevés.

QNAP note que les deux vulnérabilités critiques affectent certains produits fonctionnant avec QVR qui ont atteint leur fin de vie (EoL). Même si les appareils ne sont plus pris en charge, de nombreux clients les utilisent probablement encore, ce qui a incité la société à publier une mise à jour logicielle (QVR 5.1.5 build 20210803).

« Deux vulnérabilités d'injection de commande ont été signalées comme affectant certains périphériques QNAP EOL exécutant QVR. Si elles sont exploitées, ces vulnérabilités permettent à des attaquants distants d'exécuter des commandes arbitraires », a déclaré QNAP.

« Pour sécuriser votre appareil, nous vous recommandons vivement de mettre à jour votre système à la dernière version pour bénéficier des corrections de vulnérabilité ».