按 Enter 到主內容區
:::

TWCERT-電子報

:::

QNAP 修復多個可導致駭侵者遠端注入、執行任意程式碼的 NAS 應用程式漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-10-27
  • 點閱次數:37
QNAP 修復多個可導致駭侵者遠端注入、執行任意程式碼的 NAS 應用程式漏洞 TWCERT/CC

CVE編號

CVE-2021-34354、CVE-2021-34356、CVE-2021-34355、CVE-2021-34352 等

內文

台灣 NAS 大廠 QNAP 修復多個資安漏洞,可能致使駭侵者遠端注入並執行各種惡意程式碼,藉以發動資安攻擊。

台灣網路儲存設備(Network Attached Storage, NAS) 大廠 QNAP(威聯通),日前發表資安更新修補,修復多個資安漏洞;這些漏洞可能致使駭侵者遠端注入並執行惡意程式碼,藉以發動各種資安攻擊。QNAP 各型 NAS 設備用戶,應立即更新受影響的軟體至最新版本,以套用更新。

在這批獲得修復的漏洞中,有三個屬於危險程度相當高的「跨網站指令碼」執行(Cross-site scripting, XSS)漏洞,其 CVE 編號分別為 CVE-2021-34354、CVE-2021-34356、CVE-2021-34355。這些漏洞存於版本號碼早於 5.4.10、5.7.13、6.0.18 等 Photo Station 應用軟體內,以及版本號碼早於 2.1.5 的 Image2PDF 應用軟體內。駭侵者可利用這些 XSS 漏洞,遠端注入惡意程式碼,永久儲存在受害用戶的 NAS 裝置內。

另外,QNAP 此次也針對某些已經停產且停止支援的舊款影像監控解決方案,修補一個可能致使駭侵者遠端執行惡意程式碼,甚至取得裝置控制權的嚴重漏洞;該漏洞的 CVE 編號為 CVE-2021-34352,發生在 QVR IP 影像監控裝置的韌體內。

QNAP 資安通報中提供了 QNAP NAS 設備用戶更新這些漏洞的指引;如果用戶裝置中安裝了 Photo Station 或 Image2PDF 應用程式,只要以 admin 登入裝置,開啟 App Center,接著搜尋 Photo Station 與 Image2PDF,再按下更新按鈕即可。

QNAP 也提供了 QVR 影像監控裝置的韌體更新指引,用戶先以 admin 帳號登入 QVR 控制介面,然後進入 Control Panel > System Settings > Firmware Update,先檢查是否有新版韌體,然後按下更新按鈕即可。

影響產品

Photo Station 5.4.10、5.7.13、6.0.18 之前版本、Image2PDF 2.1.5 之前版本

解決辦法

更新至最新版本
回頁首