9VSA24-00953-01 CSIRT comparte información de vulnerabilidades en productos de QNAP
El CSIRT de Gobierno comparte información de una vulnerabilidad parchada por QNAP para varios de sus productos.
Resumen
El CSIRT de Gobierno comparte información de una vulnerabilidad parchada por QNAP para varios de sus productos.
Vulnerabilidades
Impacto
Vulnerabilidades de riesgo alto:
CVE-2023-39296: Vulnerabilidad de contaminación de prototipos que, de ser explotada, podría permitir a usuarios remotos el invalidar los atributos existentes con otros de tipo incompatible, lo que puede provocar que el sistema colapse.
CVE-2023-47559: Vulnerabilidad XSS que podría permitir a usuarios autenticado el inyectar código malicioso a través de internet.
CVE-2023-47560: Vulnerabilidad de OS commnand injection podría permitir a usuarios autenticados a ejecutar comandos a través de una red.
Productos afectados
CVE-2023-39296: QTS versiones 5.1.x y QuTS hero versiones h5.1.x. Parchado en QTS 5.1.3.2578 build 20231110 y QuTS hero h5.1.3.2578 build 20231110.
CVE-2023-47559 y CVE-2023-47560: QuMagie 2.2.x. Parchado en QuMagie 2.2.1 y posterior.
Enlaces
https://www.qnap.com/en/security-advisory/qsa-23-64
https://www.qnap.com/en/security-advisory/qsa-23-23
https://www.qnap.com/en/security-advisories
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA24-00953-01.