9VSA23-00933-01 CSIRT comparte información de vulnerabilidades críticas en QNAP QTS

Resumen

El CSIRT de Gobierno comparte información de nuevas vulnerabilidades críticas que afectan a las aplicaciones y sistemas operativos QTS en dispositivos NAS de QNAP.

Vulnerabilidades

CVE-2023-23368

CVE-2023-23369

Impacto

Vulnerabilidades de riesgo crítico:

CVE-2023-23368: Vulnerabilidad de inyección de comandos que puede ser explotada por un atacante remoto para ejecutar comandos a través de una red. CVSS: 9.8.

CVE-2023-23369: Vulnerabilidad de inyección de comandos OS que puede ser explotada por atacantes remotos para ejecutar comandos a través de una red. CVSS: 9.0.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Productos afectados
CVE-2023-23368: QTS 5.0.x y 4.5.x, QuTS hero h5.0.x y h4.5.x, y QuTScloud c5.0.1.

CVE-2023-23369: QTS 5.1.x, 4.3.6, 4.3.4, 4.3.3, y 4.2.x, Multimedia Console 2.1.x y 1.4.x, y Media Streaming add-on 500.1.x y 500.0.x.

Enlaces

https://www.qnap.com/en-uk/security-advisory/qsa-23-31

https://www.qnap.com/en-uk/security-advisory/qsa-23-35

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23368

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23369

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00933-01.