CERTFR-2024-AVI-0118_Multiples vulnerabilites dans les produits Qnap

Objet : Multiples vulnérabilités dans les produits Qnap

Référence : CERTFR-2024-AVI-0118

Risque(s)

- Exécution de code arbitraire à distance

Systèmes affectés

- QTS versions 5.x.x antérieures à 5.1.5.2645 build 20240116
- QTS versions 5.x.x antérieures à 5.1.5.2645 build 20240116
- QTS versions 4.4.x antérieures à 4.5.4.2627 build 20231225
- QTS versions 4.3.x postérieures à 4.3.5 et antérieures à 4.3.6.2665 build 20240131
- QTS versions 4.3.4 antérieures à 4.3.4.2675 build 20240131
- QTS versions 4.3.x antérieures à 4.3.3.2644 build 20240131
- QTS versions 4.2.x antérieures à 4.2.6 build 20240131
- QuTS hero versions h5.x.x antérieures à h5.1.5.2647 build 20240118
- QuTS hero versions h4.x antérieures à h4.5.4.2626 build 20231225
- QuTScloud versions c5.x antérieures à c5.1.5.2651

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Qnap. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance.

Solution

S’il n’est pas possible de procéder à l’installation d’une version corrigeant la vulnérabilité, se référer aux mesures de contournement proposées par l’éditeur à la section Mitigation.

Documentation

Bulletin de sécurité Qnap QSA-23-57 du 13 février 2024
https://www.qnap.com/fr-fr/security-advisory/qsa-23-57  
Référence CVE CVE-2023-47218
https://www.cve.org/CVERecord?id=CVE-2023-47218  
Référence CVE CVE-2023-50358
https://www.cve.org/CVERecord?id=CVE-2023-50358  

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0118/