Sintesi

Aggiornamenti di sicurezza QNAP risolvono molteplici vulnerabilità, di cui 3 con gravità “critica”, nei prodotti QTS, QuTS hero, QuTScloud e myQNAPcloud.

Tipologia

• Arbitrary Code Execution
• Authentication Bypass
• Data Manipulation

Prodotti e versioni affette

QNAP

• QTS 5.1.x, versioni precedenti alla 5.1.3.2578 build 20231110
• QTS 4.5.x, versioni precedenti alla 5.4.2627 build 20231225
• QuTS hero h5.1.x, versioni precedenti alla h5.1.3.2578 build 20231110
• QuTS hero h4.5.x, versioni precedenti alla h4.5.4.2626 build 20231225
• QuTScloud c5.x, versioni precedenti alla c5.1.5.2651
• myQNAPcloud 1.0.x, versioni precedenti alla 1.0.52 (2023/11/24)

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti interessati seguendo le indicazioni riportate nei bollettini di sicurezza, disponibili nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica”:

CVE-2024-21899

CVE-2024-21900

CVE-2024-21901

Riferimenti

https://www.qnap.com/en/security-advisory/qsa-24-09

https://www.qnap.com/en/security-advisories

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.