QNAP ออกมาเตือนเกี่ยวกับช่องโหว่ในผลิตภัณฑ์ซอฟต์แวร์ NAS ของตนเอง รวมถึง QTS, QuTS hero, QuTScloud และ myQNAPcloud ซึ่งช่องโหว่เหล่านี้อาจอนุญาตให้ผู้โจมตีเข้าถึงอุปกรณ์ได้
ผู้ผลิตอุปกรณ์ Network Attached Storage (NAS) จากไต้หวัน เปิดเผยช่องโหว่สามช่องโหว่ที่อาจนำไปสู่การข้ามผ่านการทำออเทนติเคชั่น, การทำ command injection และการทำ SQL injection
ช่องโหว่ทั้งสามมีดังนี้:
CVE-2024-21899: กลไกการรับรองความถูกต้องที่ไม่เหมาะสม ทำให้ผู้ใช้ที่ไม่ได้รับอนุญาต สามารถเข้าไปรบกวนระบบความปลอดภัยผ่านเครือข่ายได้ (จากระยะไกล)
CVE-2024-21900: ช่องโหว่นี้อาจยอมให้ผู้ใช้ที่ได้รับการรับรองความถูกต้องสามารถเรียกใช้คำสั่งตามอำเภอใจ บนระบบผ่านเครือข่าย ซึ่งอาจนำไปสู่การเข้าถึงหรือควบคุมระบบโดยไม่ได้รับอนุญาต
CVE-2024-21901: ช่องโหว่นี้สามารถอนุญาตให้ผู้ดูแลระบบที่ได้รับการรับรองสามารถทำ SQL injection ที่เป็นอันตรายผ่านเครือข่าย ซึ่งอาจส่งผลต่อความสมบูรณ์ของฐานข้อมูลได้
อ่านทั้งหมดที่นี่ – BPC
