QNAP (威聯通)發布更新,修復其NAS設備的嚴重安全漏洞,該漏洞可導致任意程式碼注入。
此漏洞編號為CVE-2022-27596,在 CVSS 評分量表中被評為 9.8 分(滿分 10 分)。它影響 QTS 5.0.1 和 QuTS hero h5.0.1等系列品。
CVE-2022-27596確切細節尚未公開,但 NIST 國家漏洞數據庫 ( National Vulnerability Database, NVD) 已將其歸類為 SQL 注入漏洞。攻擊者可以發送特製SQL 查詢,藉此武器化該漏洞,繞過安全控制以存取或更改、刪除機敏資料。
QNAP 相關的零日漏洞已被DeadBolt 勒索組織用來破壞攻擊目標網路,因此QNAP呼籲用戶盡快更新到最新版本。用戶須以管理員身份登入 QTS 或 QuTS hero,進行韌體最新更新。
- 嚴重性:嚴重
- CVE 編號: CVE-2022-27596
- 受影響產品: QTS 5.0.1、QuTS hero h5.0.1
- 影響版本:
- QTS 5.0.1.2234 構建 20221201 及更高版本
- QuTS hero h5.0.1.2248 build 20221215 及更高版本