新聞

QNAP 修復多個可導致駭侵者遠端注入、執行任意程式碼的 NAS 應用程式漏洞

2021 / 10 / 28
編輯部
QNAP 修復多個可導致駭侵者遠端注入、執行任意程式碼的 NAS 應用程式漏洞
 QNAP(威聯通)日前發表資安更新修補,修復多個資安漏洞;這些漏洞可能致使駭侵者遠端注入並執行惡意程式碼,藉以發動各種資安攻擊。QNAP 各型 NAS 設備用戶,應立即更新受影響的軟體至最新版本,以套用更新。

在這批獲得修復的漏洞中,有三個屬於危險程度相當高的「跨網站指令碼」執行(Cross-site scripting, XSS)漏洞,其 CVE 編號分別為 CVE-2021-34354、CVE-2021-34356、CVE-2021-34355。這些漏洞存於版本號碼早於 5.4.10、5.7.13、6.0.18 等 Photo Station 應用軟體內,以及版本號碼早於 2.1.5 的 Image2PDF 應用軟體內。駭侵者可利用這些 XSS 漏洞,遠端注入惡意程式碼,永久儲存在受害用戶的 NAS 裝置內。

另外,QNAP 此次也針對某些已經停產且停止支援的舊款影像監控解決方案,修補一個可能致使駭侵者遠端執行惡意程式碼,甚至取得裝置控制權的嚴重漏洞;該漏洞的 CVE 編號為 CVE-2021-34352,發生在 QVR IP 影像監控裝置的韌體內。

QNAP 資安通報中提供了 QNAP NAS 設備用戶更新這些漏洞的指引;如果用戶裝置中安裝了 Photo Station 或 Image2PDF 應用程式,只要以 admin 登入裝置,開啟 App Center,接著搜尋 Photo Station 與 Image2PDF,再按下更新按鈕即可。

QNAP 也提供了 QVR 影像監控裝置的韌體更新指引,用戶先以 admin 帳號登入 QVR 控制介面,然後進入 Control Panel > System Settings > Firmware Update,先檢查是否有新版韌體,然後按下更新按鈕即可。
  • CVE編號:CVE-2021-34354、CVE-2021-34356、CVE-2021-34355、CVE-2021-34352 等
  • 影響產品(版本):Photo Station  5.4.10、5.7.13、6.0.18 之前版本、Image2PDF 2.1.5 之前版本
  • 解決方案:更新至最新版本

本文轉載自TWCERT/CC。