Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05542

Опубликовано: 03 сент. 2022
Источник: fstec
CVSS3: 10
CVSS2: 10
EPSS Критический

Описание

Уязвимость приложения для хранения фотографий Photo Station связана с ошибками управления привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии в системе и выполнить произвольный код

Вендор

QNAP Systems, Inc.

Наименование ПО

Photo Station

Версия ПО

до 6.1.2 (Photo Station)
до 6.0.22 (Photo Station)
до 5.7.18 (Photo Station)
до 5.4.15 (Photo Station)
до 5.2.14 (Photo Station)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение функции переадресации портов;
- проверка учетных записей пользователей NAS на наличие надежных паролей и их соответствие парольной политике;
- регулярное создание резервных копий данных;
- настройка службы myQNAPcloud на сетевом хранилище NAS.
Для настройки службы myQNAPcloud на сетевом хранилище NAS необходимо выполнить следующие действия:
1) авторизоваться в службе myQNAPcloud в качестве администратора;
2) отключить переадресацию портов UPnP (в разделе «Auto Router Configuration»);
3) включить DDNS;
4) перейти в раздел «Published Services» и отменить выбор «Publish» для всех служб;
5) настроить myQNAPcloud Link для обеспечения безопасного удаленного доступа к NAS через SmartURL;
6) ограничить доступ к NAS через SmartURL (в разделе «Access Control» выбрать: Private или Customized).
Использование рекомендаций производителя:
https://www.qnap.com/en/security-advisory/qsa-22-24

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.93262
Критический

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-27593

CVSS3: 10
nvd
больше 3 лет назад

An externally controlled reference to a resource vulnerability has been reported to affect QNAP NAS running Photo Station. If exploited, This could allow an attacker to modify system files. We have already fixed the vulnerability in the following versions: QTS 5.0.1: Photo Station 6.1.2 and later QTS 5.0.0/4.5.x: Photo Station 6.0.22 and later QTS 4.3.6: Photo Station 5.7.18 and later QTS 4.3.3: Photo Station 5.4.15 and later QTS 4.2.6: Photo Station 5.2.14 and later

github логотип

GHSA-c84w-pfmp-9cxg

CVSS3: 9.1
github
больше 3 лет назад

An externally controlled reference to a resource vulnerability has been reported to affect QNAP NAS running Photo Station. If exploited, This could allow an attacker to modify system files. We have already fixed the vulnerability in the following versions: QTS 5.0.1: Photo Station 6.1.2 and later QTS 5.0.0/4.5.x: Photo Station 6.0.22 and later QTS 4.3.6: Photo Station 5.7.18 and later QTS 4.3.3: Photo Station 5.4.15 and later QTS 4.2.6: Photo Station 5.2.14 and later

EPSS

Процентиль: 100%
0.93262
Критический

10 Critical

CVSS3

10 Critical

CVSS2