Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-04206

Опубликовано: 05 мая 2022
Источник: fstec
CVSS3: 8.1
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость операционной системы QTS, операционной системы QuTS hero связана с некорректным определением ссылки перед доступом к файлу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность целостность информации

Вендор

QNAP Systems, Inc.

Наименование ПО

QuTS hero
QTS
QuTScloud

Версия ПО

до h4.5.4.1771 (QuTS hero)
4.2.6build 20170517 (QTS)
4.2.6build 20190322 (QTS)
4.2.6build 20190730 (QTS)
4.2.6build 20190921 (QTS)
4.2.6build 20191107 (QTS)
4.2.6build 20200109 (QTS)
4.2.6build 20200421 (QTS)
4.2.6build 20200611 (QTS)
от 5.0.0.1716 до 5.0.0.1986 (QTS)
от 4.4.0.0883 до 4.5.4.1991 (QTS)
от 4.3.6.0895 до 4.3.6.1965 (QTS)
от 4.3.4.0899 до 4.3.4.1976 (QTS)
от 4.3.3.0174 до 4.3.3.1945 (QTS)
4.2.6build 20210327 (QTS)
4.2.6build 20211215 (QTS)
от h5.0.0.1772 до h5.0.0.1986 (QuTS hero)
до c5.0.1.1998 (QuTScloud)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

QNAP Systems, Inc. QuTS hero до h4.5.4.1771
QNAP Systems, Inc. QTS 4.2.6build 20170517
QNAP Systems, Inc. QTS 4.2.6build 20190322
QNAP Systems, Inc. QTS 4.2.6build 20190730
QNAP Systems, Inc. QTS 4.2.6build 20190921
QNAP Systems, Inc. QTS 4.2.6build 20191107
QNAP Systems, Inc. QTS 4.2.6build 20200109
QNAP Systems, Inc. QTS 4.2.6build 20200421
QNAP Systems, Inc. QTS 4.2.6build 20200611
QNAP Systems, Inc. QTS от 5.0.0.1716 до 5.0.0.1986
QNAP Systems, Inc. QTS от 4.4.0.0883 до 4.5.4.1991
QNAP Systems, Inc. QTS от 4.3.6.0895 до 4.3.6.1965
QNAP Systems, Inc. QTS от 4.3.4.0899 до 4.3.4.1976
QNAP Systems, Inc. QTS от 4.3.3.0174 до 4.3.3.1945
QNAP Systems, Inc. QTS 4.2.6build 20210327
QNAP Systems, Inc. QTS 4.2.6build 20211215
QNAP Systems, Inc. QuTS hero от h5.0.0.1772 до h5.0.0.1986
QNAP Systems, Inc. QuTScloud до c5.0.1.1998

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.qnap.com/en/security-advisory/qsa-22-16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 62%
0.00433
Низкий

8.1 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-44052

CVSS3: 6.5
nvd
почти 4 года назад

An improper link resolution before file access ('Link Following') vulnerability has been reported to affect QNAP device running QuTScloud, QuTS hero, and QTS. If exploited, this vulnerability allows remote attackers to traverse the file system to unintended locations and read or overwrite the contents of unexpected files. We have already fixed this vulnerability in the following versions of QuTScloud, QuTS hero, and QTS: QuTScloud c5.0.1.1998 and later QuTS hero h4.5.4.1971 build 20220310 and later QuTS hero h5.0.0.1986 build 20220324 and later QTS 4.3.4.1976 build 20220303 and later QTS 4.3.3.1945 build 20220303 and later QTS 4.2.6 build 20220304 and later QTS 4.3.6.1965 build 20220302 and later QTS 5.0.0.1986 build 20220324 and later QTS 4.5.4.1991 build 20220329 and later

github логотип

GHSA-q4mx-gr8m-q3rr

CVSS3: 8.1
github
почти 4 года назад

An improper link resolution before file access ('Link Following') vulnerability has been reported to affect QNAP device running QuTScloud, QuTS hero, and QTS. If exploited, this vulnerability allows remote attackers to traverse the file system to unintended locations and read or overwrite the contents of unexpected files. We have already fixed this vulnerability in the following versions of QuTScloud, QuTS hero, and QTS: QuTScloud c5.0.1.1998 and later QuTS hero h4.5.4.1971 build 20220310 and later QuTS hero h5.0.0.1986 build 20220324 and later QTS 4.3.4.1976 build 20220303 and later QTS 4.3.3.1945 build 20220303 and later QTS 4.2.6 build 20220304 and later QTS 4.3.6.1965 build 20220302 and later QTS 5.0.0.1986 build 20220324 and later QTS 4.5.4.1991 build 20220329 and later

EPSS

Процентиль: 62%
0.00433
Низкий

8.1 High

CVSS3

8.5 High

CVSS2