Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-2509

Опубликовано: 17 апр. 2021
Источник: nvd
CVSS3: 9.8
CVSS2: 7.5
EPSS Высокий

Описание

A command injection vulnerability has been reported to affect QTS and QuTS hero. If exploited, this vulnerability allows attackers to execute arbitrary commands in a compromised application. We have already fixed this vulnerability in the following versions: QTS 4.5.2.1566 Build 20210202 and later QTS 4.5.1.1495 Build 20201123 and later QTS 4.3.6.1620 Build 20210322 and later QTS 4.3.4.1632 Build 20210324 and later QTS 4.3.3.1624 Build 20210416 and later QTS 4.2.6 Build 20210327 and later QuTS hero h4.5.1.1491 build 20201119 and later

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:qnap:qts:*:*:*:*:*:*:*:*
Версия до 4.2.6 (исключая)
cpe:2.3:o:qnap:qts:*:*:*:*:*:*:*:*
Версия от 4.3.5 (включая) до 4.3.6 (исключая)
cpe:2.3:o:qnap:qts:*:*:*:*:*:*:*:*
Версия от 4.4.0 (включая) до 4.5.1 (исключая)
cpe:2.3:o:qnap:qts:4.2.6:-:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.2.6:build_20170517:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.2.6:build_20190322:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.2.6:build_20190730:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.2.6:build_20190921:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.2.6:build_20191107:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.2.6:build_20200109:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.2.6:build_20200421:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.2.6:build_20200611:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.2.6:build_20200821:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.3.0174:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.3.0868:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.3.0998:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.3.1051:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.3.1098:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.3.1161:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.3.1252:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.3.1315:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.3.1386:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.3.1432:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0358:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0358:beta1:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0370:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0370:beta1:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0372:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0372:beta1:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0374:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0374:beta1:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0387:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0387:beta2:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0411:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0416:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0427:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0434:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0435:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0451:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0483:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0486:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0506:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0516:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0526:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0551:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0557:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0561:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0569:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0593:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0597:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0604:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.0899:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.1029:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.1082:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.1190:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.1282:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.1368:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.1417:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.4.1463:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6:-:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.0895:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.0907:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.0923:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.0944:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.0959:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.0979:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.0993:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.1013:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.1033:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.1070:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.1154:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.1218:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.1263:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.1286:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.1333:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.1411:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.3.6.1446:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.5.1:-:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.5.1.1456:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.5.1.1461:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.5.1.1465:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.5.1.1480:*:*:*:*:*:*:*
cpe:2.3:o:qnap:qts:4.5.2:-:*:*:*:*:*:*
cpe:2.3:o:qnap:quts_hero:*:*:*:*:*:*:*:*
Версия до h4.5.1 (исключая)
cpe:2.3:o:qnap:quts_hero:h4.5.1:-:*:*:*:*:*:*
cpe:2.3:o:qnap:quts_hero:h4.5.1.1472:*:*:*:*:*:*:*

EPSS

Процентиль: 99%
0.84994
Высокий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-77
CWE-77

Связанные уязвимости

github логотип

GHSA-77jf-5mcg-g6m9

CVSS3: 9.8
github
больше 3 лет назад

A command injection vulnerability has been reported to affect QTS and QuTS hero. If exploited, this vulnerability allows attackers to execute arbitrary commands in a compromised application. We have already fixed this vulnerability in the following versions: QTS 4.5.2.1566 Build 20210202 and later QTS 4.5.1.1495 Build 20201123 and later QTS 4.3.6.1620 Build 20210322 and later QTS 4.3.4.1632 Build 20210324 and later QTS 4.3.3.1624 Build 20210416 and later QTS 4.2.6 Build 20210327 and later QuTS hero h4.5.1.1491 build 20201119 and later

fstec логотип

BDU:2023-00927

CVSS3: 9.8
fstec
почти 5 лет назад

Уязвимость операционных систем QTS и QuTS hero, связанная с непринятием мер по нейтрализации специальных элементов, используемых в командах операционной системы, позволяющая нарушителю выполнить произвольные команды

EPSS

Процентиль: 99%
0.84994
Высокий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-77
CWE-77