БДУ - Уязвимости

BDU:2023-00525: Уязвимость операционных систем QTS и QuTS hero, связанная с возможностью внедрения команд, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость операционных систем QTS и QuTS hero связана с возможностью внедрения команд. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор	QNAP Systems, Inc.
Наименование ПО	QTS, QuTS hero
Версия ПО	до 5.0.1.2234 build 20221201 (QTS) до h5.0.1.2248 build 20221215 (QuTS hero)
Тип ПО	Операционная система
Операционные системы и аппаратные платформы	QNAP Systems, Inc. QTS до 5.0.1.2234 build 20221201 QNAP Systems, Inc. QuTS hero до h5.0.1.2248 build 20221215
Тип ошибки	Непринятие мер по защите структуры запроса SQL (атаки типа \"внедрение SQL\")
Идентификатор типа ошибки	CWE-89
Класс уязвимости	Уязвимость кода
Дата выявления	29.01.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - ограничение доступа к устройствам Qnap из общедоступных сетей (Интернет); - использование средств межсетевого экранирования уровня веб-приложений. Использование рекомендаций: https://www.qnap.com/en/security-advisory/qsa-23-01
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.qnap.com/en/security-advisory/qsa-23-01
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-27596 QSA: QSA-23-01
Прочая информация	Данные уточняются

Последние изменения

26.05.2023 Уязвимость программное обеспечение визуализации данных Apache Superset, связанная с небезопасной инициализацией ресурса, позволяющая нарушителю обойти установленный контроль доступа
26.05.2023 Уязвимость демона radvd (Router Advertisement Daemon) операционной системы RouterOS маршрутизаторов MikroTik, позволяющая нарушителю выполнить произвольный код
26.05.2023 Уязвимость модуля Efficient Multicast Forwarding (EMF) микропрограммного обеспечения маршрутизаторов TOTOLINK, TP-LINK, ASUS, Arris, Buffalo, D-Link, Linksys, Netgear, TRENDnet, Xiaomi, Linksys, Luxul, Phicomm, Ubee, позволяющая нарушителю выполнить произвольный код
26.05.2023 Уязвимость компонента TftpSendFileThread платформы управления сетевыми устройствами D-View 8, позволяющая нарушителю раскрыть защищаемую информацию
26.05.2023 Уязвимость компонента TftpReceiveFileHandler платформы управления сетевыми устройствами D-View 8, позволяющая нарушителю выполнить произвольный код в контексте ядра
26.05.2023 Уязвимость функции uploadFile платформы управления сетевыми устройствами D-View 8, позволяющая нарушителю создать произвольные файлы
26.05.2023 Уязвимость функции uploadMib платформы управления сетевыми устройствами D-View 8, позволяющая нарушителю удалить произвольные файлы
26.05.2023 Уязвимость метода showUser платформы управления сетевыми устройствами D-View 8, позволяющая нарушителю повысить свои привилегии
26.05.2023 Уязвимость компонента TokenUtils платформы управления сетевыми устройствами D-View 8, позволяющая нарушителю обойти процедуру аутентификации
26.05.2023 Уязвимость программного средства доступа к удаленным контроллерам Horner Automation Cscape EnvisionRV и программного средства конфигурация Cscape, связанная с доступом к неинициализированному указателю, позволяющая нарушителю выполнить произвольный код

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-00525: Уязвимость операционных систем QTS и QuTS hero, связанная с возможностью внедрения команд, позволяющая нарушителю выполнить произвольный код