9VSA24-00953-01 CSIRT comparte información de vulnerabilidades en productos de QNAP
El CSIRT de Gobierno comparte información de una vulnerabilidad parchada por QNAP para varios de sus productos.
![9VSA24-00953-01.png](https://media.ciberseguridad.gob.cl/images/9VSA24-00953-01.2e16d0ba.format-jpeg.fill-1200x600.jpg)
Resumen
El CSIRT de Gobierno comparte información de una vulnerabilidad parchada por QNAP para varios de sus productos.
Vulnerabilidades
Impacto
Vulnerabilidades de riesgo alto:
CVE-2023-39296: Vulnerabilidad de contaminación de prototipos que, de ser explotada, podría permitir a usuarios remotos el invalidar los atributos existentes con otros de tipo incompatible, lo que puede provocar que el sistema colapse.
CVE-2023-47559: Vulnerabilidad XSS que podría permitir a usuarios autenticado el inyectar código malicioso a través de internet.
CVE-2023-47560: Vulnerabilidad de OS commnand injection podría permitir a usuarios autenticados a ejecutar comandos a través de una red.
Productos afectados
CVE-2023-39296: QTS versiones 5.1.x y QuTS hero versiones h5.1.x. Parchado en QTS 5.1.3.2578 build 20231110 y QuTS hero h5.1.3.2578 build 20231110.
CVE-2023-47559 y CVE-2023-47560: QuMagie 2.2.x. Parchado en QuMagie 2.2.1 y posterior.
Enlaces
https://www.qnap.com/en/security-advisory/qsa-23-64
https://www.qnap.com/en/security-advisory/qsa-23-23
https://www.qnap.com/en/security-advisories
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA24-00953-01.