QNAP cảnh báo lỗ hổng bỏ qua xác thực nghiêm trọng trong các thiết bị NAS

Nhà sản xuất thiết bị NAS của Đài Loan tiết lộ ba lỗ hổng có thể dẫn đến bỏ qua xác thực, chèn lệnh và SQL injection.

Chi tiết lỗ hổng:

• CVE-2024-21899: Cơ chế xác thực không phù hợp, cho phép người dùng trái phép xâm phạm an ninh của hệ thống thông qua mạng.
• CVE-2024-21900: Cho phép người dùng xác thực thực thi các lệnh tùy ý trên hệ thống thông qua mạng, có thể dẫn đến truy cập hoặc kiểm soát hệ thống trái phép.
• CVE-2024-21901: Cho phép quản trị viên chèn mã SQL độc hại qua mạng, có khả năng ảnh hưởng đến tính toàn vẹn và thao túng nội dung cơ sở dữ liệu.

Các lỗ hổng ảnh hưởng đến nhiều phiên bản hệ điều hành khác nhau của QNAP, bao gồm QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x và dịch vụ myQNAPcloud 1.0.x.

Nguồn: Bleeping Computer