按 Enter 到主內容區
:::

TWCERT-電子報

:::

QNAP改善照片時光屋cross-site scripting弱點

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2019-04-03
  • 點閱次數:474
QNAP改善照片時光屋cross-site scripting弱點

CVE編號

CVE-2018-0715

內文

●概述:
國內NAS大廠威聯通旗下商品Photo Station,功能為增刪管理NAS內影像檔,並支援進階搜尋與臉部偵測,經分析其中度危險漏洞,因輸入值未妥善檢驗,容許駭客循web介面注入程式碼,發動跨站台腳本攻擊,上述事件皆影響NAS共同用戶系統安全,QNAP Systems已針對相關瑕疵升級Photo Station,可直接下載。
更新。
●編註:
Photo Station概念為網頁式相冊,由於程式本身對輸入字串值檢查不周,容許特製script經web介面送出,形成XSS,而導致受害者瀏覽特定網頁時,執行惡意操作。
另”照片時光屋”係中文產品名稱,並非直譯”Photo Station”。

影響產品

Photo Station 5.7.0以前版本

解決辦法

下載Photo Station 5.7.1,先登入QTS管理帳號,從App Center尋找Photo Station,選擇最新版本按下Update即可。

相關連結

  1. https://www.qnap.com/zh-tw/security-advisory/nas-201808-23
  2. https://exchange.xforce.ibmcloud.com/vulnerabilities/148881
  3. https://vulners.com/cve/CVE-2018-0715/
  4. https://www.qnap.com/zh-tw/how-to/tutorial/article/%25E4%25BD%25BF%25E7%2594%25A8-photo-station-%25E
  5. https://www.qnap.com/solution/multimedia/zh-tw/photo.php
  6. https://www.anquanke.com/vul/id/1281249
  7. https://www.qnap.com/images/products/Application/notes/photo-station_01.png
回頁首