QNAP改善照片時光屋cross-site scripting弱點
- 發布單位:TWCERT/CC
- 更新日期:2019-04-03
- 點閱次數:474
CVE編號
CVE-2018-0715
內文
●概述:
國內NAS大廠威聯通旗下商品Photo Station,功能為增刪管理NAS內影像檔,並支援進階搜尋與臉部偵測,經分析其中度危險漏洞,因輸入值未妥善檢驗,容許駭客循web介面注入程式碼,發動跨站台腳本攻擊,上述事件皆影響NAS共同用戶系統安全,QNAP Systems已針對相關瑕疵升級Photo Station,可直接下載。
更新。
●編註:
Photo Station概念為網頁式相冊,由於程式本身對輸入字串值檢查不周,容許特製script經web介面送出,形成XSS,而導致受害者瀏覽特定網頁時,執行惡意操作。
另”照片時光屋”係中文產品名稱,並非直譯”Photo Station”。
影響產品
Photo Station 5.7.0以前版本
解決辦法
下載Photo Station 5.7.1,先登入QTS管理帳號,從App Center尋找Photo Station,選擇最新版本按下Update即可。
相關連結
- https://www.qnap.com/zh-tw/security-advisory/nas-201808-23
- https://exchange.xforce.ibmcloud.com/vulnerabilities/148881
- https://vulners.com/cve/CVE-2018-0715/
- https://www.qnap.com/zh-tw/how-to/tutorial/article/%25E4%25BD%25BF%25E7%2594%25A8-photo-station-%25E
- https://www.qnap.com/solution/multimedia/zh-tw/photo.php
- https://www.anquanke.com/vul/id/1281249
- https://www.qnap.com/images/products/Application/notes/photo-station_01.png