Sintesi

Aggiornamenti di sicurezza QNAP risolvono alcune vulnerabilità, di cui una con gravità “critica” e 2 con gravità “alta” nei prodotti QTS, QuTS hero, QuTScloud e nel componente aggiuntivo Media Streaming.

Tipologia

• Information Disclosure
• Security Restrictions Bypass

Prodotti e versioni affette

QNAP

• QTS 5.1.x, versioni precedenti alla 5.1.4.2596 build 20231128
• QTS 4.5.x, versioni precedenti alla 4.5.4.2627 build 20231225
• QuTS hero h5.1.x, versioni precedenti alla h5.1.3.2578 build 20231110
• QuTS hero h4.5.x, versioni precedenti alla h4.5.4.2626 build 20231225
• QuTScloud c5.x, versioni precedenti alla c5.1.5.2651

Media Streaming add-on versioni precedenti alla 500.1.1.5 (2024/01/22)

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti interessati seguendo le indicazioni riportate nei bollettini di sicurezza, disponibili nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta” e “critica”:

CVE-2023-47222

CVE-2023-51364

CVE-2023-51365

Riferimenti

https://www.qnap.com/en/security-advisory/qsa-24-15

https://www.qnap.com/en/security-advisory/qsa-24-14

https://www.qnap.com/en/security-advisories

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.