Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-00927

Опубликовано: 17 апр. 2021
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Высокий

Описание

Уязвимость операционных систем QTS и QuTS hero связана с непринятием мер по нейтрализации специальных элементов, используемых в командах операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специального HTTP-запроса

Вендор

QNAP Systems, Inc.

Наименование ПО

QTS
QuTS hero

Версия ПО

до 4.3.3.1624 Build 20210416 (QTS)
до 4.3.6.1620 Build 20210322 (QTS)
до 4.5.2.1566 Build 20210202 (QTS)
до 4.5.1.1495 Build 20201123 (QTS)
до 4.3.4.1632 Build 20210324 (QTS)
до 4.2.6 Build 20210327 (QTS)
до h4.5.1.1491 build 20201119 (QuTS hero)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

QNAP Systems, Inc. QTS до 4.3.3.1624 Build 20210416
QNAP Systems, Inc. QTS до 4.3.6.1620 Build 20210322
QNAP Systems, Inc. QTS до 4.5.2.1566 Build 20210202
QNAP Systems, Inc. QTS до 4.5.1.1495 Build 20201123
QNAP Systems, Inc. QTS до 4.3.4.1632 Build 20210324
QNAP Systems, Inc. QTS до 4.2.6 Build 20210327
QNAP Systems, Inc. QuTS hero до h4.5.1.1491 build 20201119

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://www.qnap.com/en/security-advisory/qsa-21-05

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.84994
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-2509

CVSS3: 9.8
nvd
почти 5 лет назад

A command injection vulnerability has been reported to affect QTS and QuTS hero. If exploited, this vulnerability allows attackers to execute arbitrary commands in a compromised application. We have already fixed this vulnerability in the following versions: QTS 4.5.2.1566 Build 20210202 and later QTS 4.5.1.1495 Build 20201123 and later QTS 4.3.6.1620 Build 20210322 and later QTS 4.3.4.1632 Build 20210324 and later QTS 4.3.3.1624 Build 20210416 and later QTS 4.2.6 Build 20210327 and later QuTS hero h4.5.1.1491 build 20201119 and later

github логотип

GHSA-77jf-5mcg-g6m9

CVSS3: 9.8
github
больше 3 лет назад

A command injection vulnerability has been reported to affect QTS and QuTS hero. If exploited, this vulnerability allows attackers to execute arbitrary commands in a compromised application. We have already fixed this vulnerability in the following versions: QTS 4.5.2.1566 Build 20210202 and later QTS 4.5.1.1495 Build 20201123 and later QTS 4.3.6.1620 Build 20210322 and later QTS 4.3.4.1632 Build 20210324 and later QTS 4.3.3.1624 Build 20210416 and later QTS 4.2.6 Build 20210327 and later QuTS hero h4.5.1.1491 build 20201119 and later

EPSS

Процентиль: 99%
0.84994
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2