CVE-2020-36198

Опубликовано: 13 мая 2021

Источник: nvd

CVSS3: 6.7

CVSS2: 7.2

EPSS Низкий

Описание

A command injection vulnerability has been reported to affect certain versions of Malware Remover. If exploited, this vulnerability allows remote attackers to execute arbitrary commands. This issue affects: QNAP Systems Inc. Malware Remover versions prior to 4.6.1.0. This issue does not affect: QNAP Systems Inc. Malware Remover 3.x.

Ссылки

http://packetstormsecurity.com/files/162849/QNAP-MusicStation-MalwareRemover-File-Upload-Command-Injection.html
Patch
Third Party Advisory
VDB Entry
https://www.qnap.com/zh-tw/security-advisory/qsa-21-16
Vendor Advisory
https://www.zerodayinitiative.com/advisories/ZDI-21-592/
Third Party Advisory
VDB Entry
http://packetstormsecurity.com/files/162849/QNAP-MusicStation-MalwareRemover-File-Upload-Command-Injection.html
Patch
Third Party Advisory
VDB Entry
https://www.qnap.com/zh-tw/security-advisory/qsa-21-16
Vendor Advisory
https://www.zerodayinitiative.com/advisories/ZDI-21-592/
Third Party Advisory
VDB Entry

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:qnap:malware_remover:*:*:*:*:*:*:*:*

Версия от 4.5.4.0 (включая) до 4.6.1.0 (исключая)

EPSS

Процентиль: 76%

0.00936

Низкий

6.7 Medium

CVSS3

7.2 High

CVSS2

Дефекты

CWE-77

CWE-78

Связанные уязвимости

GHSA-7wxf-2j8p-f3hw

CVSS3: 6.7

github

больше 3 лет назад

BDU:2021-05470

CVSS3: 6.7

fstec

около 5 лет назад

Уязвимость средства удаления вредоносных программ Malware Remover, связанная с неправильной нейтрализацией специальных элементов на управляющем уровне, позволяющая нарушителю выполнить произвольные команды и повысить свои привилегии

EPSS

Процентиль: 76%

0.00936

Низкий

6.7 Medium

CVSS3

7.2 High

CVSS2

Дефекты

CWE-77

CWE-78