AVIS CERTFR - 2022 - AVI - 421

AVIS CERT

CERT-FR

Publié le 6 mai 2022 à 15h18

Objet : Multiples vulnérabilités dans les produits Qnap

Référence : CERTFR-2022-AVI-421

Risque(s)

- Non spécifié par l'éditeur
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- Qnap QVR versions antérieures à 5.1.6 build 20220401
- Qnap QTS versions antérieures à 5.0.0.1986 build 20220324
- Qnap QTS versions antérieures à 4.5.4.1991 build 20220329
- Qnap QTS versions antérieures à 4.3.6.1965 build 20220302
- Qnap QTS versions antérieures à 4.3.4.1976 build 20220303
- Qnap QTS versions antérieures à 4.3.3.1945 build 20220303
- Qnap QTS versions antérieures à 4.2.6 build 20220304
- Qnap QuTS hero versions antérieures à h5.0.0.1986 build 20220324
- Qnap QuTS hero versions antérieures à h4.5.4.1971 build 20220310
- Qnap QuTScloud versions antérieures à c5.0.1.1998
- Qnap Video Station versions antérieures à 5.5.9
- Qnap Video Station versions antérieures à 5.3.13
- Qnap Video Station versions antérieures à 5.1.8
- Qnap Photo Station versions antérieures à 6.0.20 (2022/02/15)
- Qnap Photo Station versions antérieures à 5.7.16 (2022/02/11)
- Qnap Photo Station versions antérieures à 5.4.13 (2022/02/11)

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Qnap. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-421/