QNAP corrige de multiple vulnérabilités de haute gravité affectant certains de ses produits
QNAP Systems a publié des correctifs pour une vulnérabilité critique affectant certains de ses produits de surveillance de réseau, elle pourrait permettre à un acteur de menace d’exécuter des commandes arbitraires à distance sur les appareils vulnérables.
Suivie sous le nom de CVE-2022-27588, la faille a reçu un score de 9.8 sur l’échelle d’évaluation CVSS. Elle affecte les appareils NVR de la série VS fonctionnant avec QVR (une solution de surveillance de QNAP).
Le fabriquant a également publié des mises à jour pour d’autres vulnérabilités de haute gravité, la première (CVE-2021-44057) affecte certains périphériques NAS exécutant Photo Station, et permet aux attaquants de compromettre la sécurité du système.
Les autres failles trouvées dans QTS, QuTS et QuTScloud, pourraient être exploitées à distance pour injecter des commandes (CVE-2021-44051), lire ou écraser des fichiers (CVE-2021-44052), injecter du code malveillant (CVE-2021-44053) ou rediriger les utilisateurs vers une page Web non fiable (CVE-2021-44054).
QNAP invite ces clients à mettre à jour leurs systèmes d'exploitation avec les dernières versions corrigeant ces problèmes afin d’atténuer tout risque possible.