In verschiedenen NAS-Betriebssystemen von
Qnap klaffen zwei kritische Sicherheitslücken. Angreifer können über die Schwachstellen
CVE-2023-23368 und
CVE-2023-23369 aus der Ferne beliebige Befehle ausführen und die Systeme womöglich vollständig kompromittieren. Nähere Informationen ausser denen in den oben zitierten Sicherheitsmeldungen liefert Qnap nicht. Betroffen sind die Betriebssystemvarianten QTS, QuTS Hero und QuTScloud.
Der Hersteller hat für beide Probleme Patches veröffentlicht. Behoben sind die Schwachstellen in QTS 4.5.4.2374 Build 20230416, QTS 5.0.1.2514 Build 20230906, QuTS Hero h5.0.1.2515 Build 20230907, QuTS Hero h5.1.1.2488 Build 20230812 und QuTScloud c5.1.0.2498. Patches gibt es auch für das mit mittlerem Risiko eingestufte Leck CVE-2023-39299, das im Qnap-Streamingserver auftaucht, sowie für die Data-Leak-Schwachstelle CVE-2023-39301.
(ubi)