QNAP به تازگی چند بولتن امنیتی منتشر و آسیبپذیریهای متعدد از جمله سه نقص مهم زیر را برطرف کرده است که کاربران باید در اسرع وقت بهروزرسانی کنند.
✅ دو آسیبپذیری حیاتی که بر Notes Station 3 تأثیر می گذارد و در نسخه 3.9.7 برطرف شده است:
🔸CVE-2024-38643 (امتیاز CVSS v4: 9.3): نقص عدم احراز هویت برای توابع حیاتی میتواند به مهاجمان راه دور اجازه دسترسی غیر مجاز و اجرای عملکردهای خاص سیستم را بدهد. فقدان مکانیسمهای احراز هویت مناسب این امکان را برای مهاجمان فراهم میکند که از این نقص بدون اعتبار قبلی سوء استفاده کنند و منجر به مخاطره بالقوه سیستم شود.
🔸 CVE-2024-38645 (امتیاز CVSS v4: 9.4): آسیبپذیری جعل درخواست سمت سرور (SSRF) که میتواند مهاجمان راه دور با اعتبار احراز هویت را قادر سازد درخواستهای دستکاری شدهای را ارسال کنند که رفتار سمت سرور را دستکاری میکند و به طور بالقوه دادههای حساس برنامه را در معرض دید قرار میدهد.
🔸در همان بولتن، دو نقص تزریق فرمان و دسترسی غیرمجاز به داده با شناسههای CVE-2024-38644 (امتیاز CVSS v4: 8.7 ) و CVE-2024-38646 (امتیاز CVSS v4: 8.4) نیز ذکر شده است که برای بهرهبرداری نیاز به دسترسی در سطح کاربر دارد.
✅ سومین نقص حیاتی برطرف شده QNAP، آسیبپذیری تزریق فرمان سیستم عامل با شناسه CVE-2024-48860 (امتیاز CVSS v4: 8.7، 8.4) است که بر محصولات QuRouter 2.4.x تأثیر میگذارد و میتواند به مهاجمان راه دور اجازه دهد تا دستورات را در سیستم میزبان اجرا کنند.
🔸QNAP همچنین نقص تزریق فرمان دیگری با شناسه CVE-2024-48861 (امتیاز CVSS v4: 7.4) را در QuRouter نسخه 2.4.3.106 برطرف کرد.
https://www.bleepingcomputer.com/news/security/qnap-addresses-critical-flaws-across-nas-router-software/
