Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03943

Опубликовано: 12 дек. 2023
Источник: fstec
CVSS3: 8.5
CVSS2: 7.1
EPSS Высокий

Описание

Уязвимость функции get_file_size файла share.cgi операционных систем QTS, QuTS hero, QuTScloud сетевых устройств Qnap связана с возможностью переполнения буфера на основе стека. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

QNAP Systems, Inc.

Наименование ПО

QTS
QuTS hero
QuTScloud

Версия ПО

- (QTS)
- (QuTS hero)
- (QuTScloud)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

QNAP Systems, Inc. QTS -
QNAP Systems, Inc. QuTS hero -
QNAP Systems, Inc. QuTScloud -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- ограничение возможности использования функции «поделиться файлом (share a file)» на устройствах недоверенными пользователями;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование антивирусного программного обеспечения для отслеживания попыток эксплуатации уязвимости;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.80996
Высокий

8.5 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-27130

CVSS3: 7.2
nvd
больше 1 года назад

A buffer copy without checking size of input vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow users to execute code via a network. We have already fixed the vulnerability in the following version: QTS 5.1.7.2770 build 20240520 and later QuTS hero h5.1.7.2770 build 20240520 and later

github логотип

GHSA-c3mm-2w2h-vx43

CVSS3: 7.2
github
больше 1 года назад

A buffer copy without checking size of input vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow users to execute code via a network. We have already fixed the vulnerability in the following version: QTS 5.1.7.2770 build 20240520 and later QuTS hero h5.1.7.2770 build 20240520 and later

EPSS

Процентиль: 99%
0.80996
Высокий

8.5 High

CVSS3

7.1 High

CVSS2