QNAP 修复了关键的 QVR 远程命令执行漏洞

http://hackernews.cc/wp-content/uploads/2022/05/%E5%BE%AE%E4%BF%A1%E5%9B%BE%E7%89%87_20220507140817-600x334.png

近期，QNAP发布了几项安全公告，其中一项针对严重的安全问题，该问题允许在易受攻击的QVR系统上远程执行任意命令，该公司的视频监控解决方案托管在NAS设备上。QVR IP视频监控系统支持多重频道和跨平台视频解码，专为监控家庭和办公环境而设计。该漏洞编号为CVE-2022-27588，严重程度得分为9.8。它会影响早于5.1.6 build 20220401的QVR版本。

根据QNAP发布的公告，该漏洞会影响运行QVR的QNAP VS系列NVR。如果被利用，此漏洞允许远程攻击者运行任意命令。这种类型的安全漏洞允许攻击者在目标上执行命令以更改设置、访问敏感信息或控制设备。它甚至还可以被当成深入目标网络的踏板。正如我们过去所见，当漏洞利用公开可用时，QNAP系统中的关键漏洞几乎立即在网络攻击中被利用。

目前BleepingComputer表示已与QNAP联系，要求提供有关 CVE-2022-27588是否被积极利用的信息，并将根据公司的回应做出及时报道。

除了QVR 中的严重问题外，QNAP还解决了其他产品中的8个漏洞，严重程度介于中到高之间。

以下是修复的完整列表：

• CVE-2022-27588：QNAP QVR 中的严重RCE
• CVE-2021-38693：thttpd中的中等严重性路径遍历漏洞，影响 QTS、QuTS hero 和 QuTScloud。
• CVE-2021-44055：中等严重性缺陷，允许远程访问某些 Video Station 版本中的数据。
• CVE-2021-44056：中等严重性缺陷，允许远程访问某些 Video Station 版本中的数据。
• CVE-2021-44057：运行 Photo Station 的 QNAP NAS 中的高危漏洞。
• CVE-2021-44051：高严重性命令注入漏洞，允许在 QTS、QuTS hero 和 QuTScloud 中执行任意远程命令。
• CVE-2021-44052：高严重性链接解析漏洞，允许在 QTS、QuTS hero 和 QuTScloud 中执行恶意文件操作。
• CVE-2021-44053：高严重性跨站点脚本 (XSS) 漏洞，允许在 QTS、QuTS hero 和 QuTScloud 中进行远程代码注入。
• CVE-2021-44054：高严重性开放重定向漏洞，允许用户重定向到 QTS、QuTS hero 和 QuTScloud 中带有恶意软件的页面。

目前，QNAP尚未提供缓解指南，因此建议您将软件更新到最新的可用版本。

转自 FreeBuf ，原文链接：https://www.freebuf.com/articles/332343.html

封面来源于网络，如有侵权请联系删除