Tchajwanský výrobce QNAP varuje své zákazníky před kritickou chybou ohrožující jeho síťové disky (NAS). Doporučuje jim, aby si nainstalovali aktualizace firmwarů QTS a QuTS. Chyba nese označení CVE-2022–27596 a dostala na škále CVSS hodnocení závažnosti 9,8 z 10.
Útočník může tuto zranitelnost zneužít vzdáleně k vložení a spuštění vlastního škodlivého kódu. Chybu je možno na zranitelném zařízení snadno zneužít bez interakce s uživatelem nebo bez uživatelského účtu. Problém se týká QTS 5.0.1 a QuTS hero h5.0.1. Oprava je součástí vydání verze QTS 5.0.1.2234 build 20221201 a QuTS hero h5.0.1.2248 build 20221215 a novějších.
Přesná technická specifikace zranitelnosti zatím nebyla zveřejněna, ale databáze NIST (NVD) problém klasifikovala jako zranitelnost typu SQL injection. Dá se tedy předpokládat, že útočník může odesílat speciálně vytvořené dotazy SQL tak, aby je mohl využít k obcházení bezpečnostních kontrol a k přístupu k cenným informacím nebo k jejich změně.
ČLÁNKY DO MAILU