QNAP针对影响NAS设备的9个新缺陷发布固件补丁

台湾网络连接存储（NAS）设备制造商QNAP周五发布了安全更新，以修补九个安全漏洞，包括一个可能被用来接管受影响系统的关键问题。

QNAP在一份咨询报告中表示：“据报告，有一个漏洞会影响QNAP VS运行QVR的系列NVR”。“如果受到攻击，此漏洞允许远程攻击者运行任意命令”。

跟踪为（CVSS得分：9.8），该漏洞已在QVR 5.1.6 build 20220401及更高版本中解决。日本计算机应急响应小组协调中心（JPCERT/CC）负责报告该缺陷。

除了严重的缺陷外，QNAP还解决了其软件中的三个高严重性错误和五个中等严重性错误

• （CVSS得分：5.3）thttpd中的路径遍历漏洞影响运行QTS、QuTS hero、QuTScloud和QVR Pro设备的QNAP设备，导致信息泄露

• （CVSS得分：8.8）运行QTS、QuTS hero和QuTScloud的QNAP设备中存在命令注入漏洞，导致任意命令执行

• CVE-2021-44052（CVSS得分：6.5）-运行QTS、QuTS hero和QuTScloud的QNAP设备中存在文件访问前链接解析不当（“链接跟踪”）漏洞，允许攻击者在任意文件位置读取/写入文件

• CVE-2021-44053（CVSS得分：5.7）-运行QTS、QuTS hero和QuTScloud的QNAP设备中存在跨站点脚本（XSS）漏洞，导致代码注入

• CVE-2021-44054（CVSS得分：4.3）-运行QTS、QuTS hero和QuTScloud的QNAP设备中存在一个开放式重定向漏洞，可以将用户重定向到恶意网页

• （CVSS得分：5.3）运行视频站的QNAP设备中缺少授权漏洞，允许攻击者访问数据或执行未经授权的操作

• （CVSS得分：7.1）运行视频站的QNAP设备中存在不正确的身份验证漏洞，导致系统受损

• CVE-2021-44057（CVSS得分：7.1）运行Photo Station的QNAP设备中存在不正确的身份验证漏洞，导致系统受损