Die Betriebssysteme QTS, QuTS Hero und QuTScloud für Qnap-Geräte weisen hoch riskante Sicherheitslücken auf. Das gravierendste Leck heisst
CVE-2023-23362 und wird von
Qnap selbst mit hohem Risiko bewertet. Der CVSS Score ist noch nicht bestimmt. Die Schwachstelle erlaubt es angemeldeten Usern, auf den betroffenen Geräten Befehle auszuführen (OS Command Injection).
Bei zwei weiteren Schwachstellen,
CVE-2023-23358 und CVE-2023-23359, konstatiert der Hersteller ein mittleres Risiko. Es handelt sich dabei um Out-of-Bounds-Lecks, über die authentifizierte User DDoS-Angriffe lancieren können. Weiter meldet Qnap die zwei Null-Pointer-Dereference-Schwachstellen
CVE-2023-23360 und CVE-23361 mit ebenfalls mittlerem Risiko für potenzielle DDoS-Attacken aus dem Netz.
Qnap stellt für alle genannten Schwachstellen gepatchte Versionen seiner Betriebssysteme bereit. Details zu den betroffenen OS-Versionen finden sich in den oben verlinkten Sicherheitsmeldungen.
(ubi)
