CERTFR-2024-AVI-1052_Multiples vulnerabilites dans les produits Qnap

AVIS CERT

CERT-FR

Publié le 10 décembre 2024 à 08h05 - Mis à jour le 18 février 2025 à 14h52

Objet

Multiples vulnérabilités dans les produits Qnap

Référence

CERTFR-2024-AVI-1052

Risque(s)

Atteinte à l'intégrité des données
Contournement de la politique de sécurité
Exécution de code arbitraire à distance
Non spécifié par l'éditeur

Système(s) affecté(s)

License Center versions 1.9.x antérieures à 1.9.43
Qsync Central versions 4.4.x antérieures à 4.4.0.16_20240819 ( 2024/08/19 )
QTS versions 5.1.x antérieures à 5.1.9.2954 build 20241120
QTS versions 5.2.x antérieures à 5.2.2.2950 build 20241114
QuTS hero versions h5.1.x antérieures à h5.1.9.2954 build 20241120
QuTS hero versions h5.2.x antérieures à h5.2.2.2952 build 20241116

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Qnap.

Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à l'intégrité des données et un contournement de la politique de sécurité.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

Bulletin de sécurité Qnap QSA-24-48 du 07 décembre 2024 : https://www.qnap.com/go/security-advisory/qsa-24-48
Bulletin de sécurité Qnap QSA-24-49 du 07 décembre 2024 : https://www.qnap.com/go/security-advisory/qsa-24-49
Bulletin de sécurité Qnap QSA-24-50 du 07 décembre 2024 : https://www.qnap.com/go/security-advisory/qsa-24-50
Référence CVE CVE-2024-48859 : https://www.cve.org/CVERecord?id=CVE-2024-48859
Référence CVE CVE-2024-48863 : https://www.cve.org/CVERecord?id=CVE-2024-48863
Référence CVE CVE-2024-48865 : https://www.cve.org/CVERecord?id=CVE-2024-48865
Référence CVE CVE-2024-48866 : https://www.cve.org/CVERecord?id=CVE-2024-48866
Référence CVE CVE-2024-48867 : https://www.cve.org/CVERecord?id=CVE-2024-48867
Référence CVE CVE-2024-48868 : https://www.cve.org/CVERecord?id=CVE-2024-48868
Référence CVE CVE-2024-50393 : https://www.cve.org/CVERecord?id=CVE-2024-50393
Référence CVE CVE-2024-50402 : https://www.cve.org/CVERecord?id=CVE-2024-50402
Référence CVE CVE-2024-50403 : https://www.cve.org/CVERecord?id=CVE-2024-50403
Référence CVE CVE-2024-50404 : https://www.cve.org/CVERecord?id=CVE-2024-50404

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1052/