QNAP แก้ไขช่องโหว่จำนวน 3 รายการ ใน NAS devices รวมถึงช่องโหว่ Authentication bypass

96/67 (IT) ประจำวันจันทร์ที่ 11 มีนาคม 2567

QNAP แก้ไขช่องโหว่จำนวน 3 รายการ ใน Network Attached Storage (NAS) devices ที่สามารถถูก exploit ในการเข้าถึง device ได้ โดยมีช่องโหว่ 3 รายการดังนี้

– CVE-2024-21899 เป็นช่องโหว่ improper authentication ที่อาจทำให้ผู้ใช้งานสามารถ compromise ความปลอดภัยของระบบผ่านทางเครือข่ายได้

– CVE-2024-21900 เป็นช่องโหว่ injection อาจทำให้ผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์สามารถ execute command ผ่านเครือข่ายได้

– CVE-2024-21901 เป็นช่องโหว่ SQL injection อาจทำให้ผู้ดูแลระบบที่ได้รับการรับรองความถูกต้องสามารถ inject malicious code ผ่านเครือข่ายได้   

QNAP แนะนำให้ผู้ใช้งานอัปเดต QTS, QuTS hero, QuTScloud และ myQNAPcloud เป็นเวอร์ชันต่อไปนี้ :

– QTS 5.1.3.2578 build 20231110 และเวอร์ชันที่ใหม่กว่า

– QTS 4.5.4.2627 build 20231225 และเวอร์ชันที่ใหม่กว่า

– QuTS hero h5.1.3.2578 build 20231110 และเวอร์ชันที่ใหม่กว่า

– QuTS hero h4.5.4.2626 build 20231225 และเวอร์ชันที่ใหม่กว่า

– QuTScloud c5.1.5.2651 และเวอร์ชันที่ใหม่กว่า – myQNAPcloud 1.0.52 (24/11/2023) และเวอร์ชันที่ใหม่กว่า

แหล่งข่าว https://securityaffairs.com/160217/iot/qnap-nas-products-flaws.html