Thomas Fady

**Nome do software vulnerável e versões afetadas** Versões do QNAP AI Core anteriores à 3.4.1 **Descrição** Foi relatado um problema de exposição de informações confidenciais, que pode permitir que invasores remotos comprometam a segurança do sistema. **Recomendações** Para versões do QNAP AI Core anteriores à 3.4.1, atualize para a versão 3.4.1 ou posterior para resolver o problema.

Nome do software vulnerável e versões afetadas: Versões do Notes Station 3 anteriores à 3.9.7 Descrição: O problema está relacionado à validação insuficiente de solicitações recebidas, o que poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas, falsificando solicitações em nome do servidor. Trata-se de uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF). Se explorada, poderia permitir que invasores remotos autenticados lessem dados do aplicativo. Recomendações: Para versões do Notes Station 3 anteriores à 3.9.7, atualize para a versão 3.9.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao aplicativo Notes Station vulnerável até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Notes Station 3 anteriores à 3.9.7 **Descrição** Foi relatada uma vulnerabilidade de injeção de comando no sistema operacional, que poderia permitir que invasores remotos autenticados executassem comandos caso a vulnerabilidade fosse explorada. **Recomendações** Para versões anteriores à 3.9.7, atualize para a versão 3.9.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a áreas confidenciais do sistema para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Notes Station 3 anteriores à 3.9.7 **Descrição** Foi relatada uma falha de autenticação ausente em funções críticas, o que poderia permitir que invasores remotos obtivessem acesso e executassem determinadas funções caso a vulnerabilidade fosse explorada. **Recomendações** Para versões do Notes Station 3 anteriores à 3.9.7, atualize para a versão 3.9.7 ou posterior para corrigir a falha de autenticação ausente. Como solução temporária, considere restringir o acesso a funções críticas até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do QNAP QTS anteriores à 5.1.6.2722 build 20240402 Versões do QNAP QuTS hero anteriores à h5.1.6.2734 build 20240414 **Descrição** Foi relatada uma vulnerabilidade de injeção de comando no sistema operacional que afeta várias versões do sistema operacional QNAP. Se explorada, a vulnerabilidade poderia permitir que administradores autenticados executassem comandos através da rede. **Recomendações** Para versões do QNAP QTS anteriores à 5.1.6.2722 build 20240402, atualize para o QTS 5.1.6.2722 build 20240402 ou posterior. Para versões do QNAP QuTS hero anteriores à h5.1.6.2734 build 20240414, atualize para o QuTS hero h5.1.6.2734 build 20240414 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Music Station anteriores à 5.4.0 **Descrição** Foi relatada uma vulnerabilidade de autenticação inadequada que afeta o Music Station. Se explorada, a vulnerabilidade poderia permitir que usuários comprometessem a segurança do sistema por meio de uma rede. **Recomendações** Para versões do Music Station anteriores à 5.4.0, atualize para a versão 5.4.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Notes Station 3 anteriores à 3.9.7 **Descrição** Foi relatada uma vulnerabilidade relacionada à atribuição incorreta de permissões para um recurso crítico. Se explorada, a vulnerabilidade poderia permitir que invasores locais autenticados, que tenham obtido acesso de administrador, leiam ou modifiquem o recurso. **Recomendações** Para versões do Notes Station 3 anteriores à 3.9.7, atualize para a versão 3.9.7 ou posterior para se proteger contra possíveis ataques. Como solução temporária, considere restringir o acesso a recursos críticos até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Video Station anteriores à 5.1.8 Versões do Video Station anteriores à 5.3.13 Versões do Video Station anteriores à 5.5.9 **Descrição** Um problema de autenticação inadequada afeta dispositivos QNAP que executam o Video Station, permitindo que invasores comprometam a segurança do sistema ao explorar a vulnerabilidade. Esse problema está relacionado a deficiências no procedimento de autenticação, que podem ser exploradas por um invasor remoto para elevar seus privilégios. **Recomendações** Para versões anteriores à 5.1.8, atualize para o Video Station 5.1.8 ou posterior. Para versões anteriores à 5.3.13, atualize para o Video Station 5.3.13 ou posterior. Para versões anteriores à 5.5.9, atualize para o Video Station 5.5.9 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Photo Station anteriores à 5.4.13 Versões do Photo Station anteriores à 5.7.16 Versões do Photo Station anteriores à 6.0.20 **Descrição** Uma falha na autenticação afeta dispositivos QNAP que executam o Photo Station, permitindo que invasores contornem as restrições de segurança e comprometam a segurança do sistema. **Recomendações** Para versões anteriores à 5.4.13, atualize para o Photo Station 5.4.13 ou posterior. Para versões anteriores à 5.7.16, atualize para o Photo Station 5.7.16 ou posterior. Para versões anteriores à 6.0.20, atualize para o Photo Station 6.0.20 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Video Station anteriores à 5.5.9 **Descrição** O problema está relacionado a procedimentos de autorização insuficientes no aplicativo Video Station, permitindo que invasores remotos elevem seus privilégios e acessem dados ou realizem ações que não deveriam ter permissão para realizar. Isso pode levar a acesso não autorizado e possíveis violações de dados. **Recomendações** Para versões anteriores à 5.5.9, atualize para o Video Station 5.5.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a dados e funções confidenciais no aplicativo Video Station até que a atualização possa ser aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Synology DiskStation Manager (DSM) anteriores à 7.0.1-42218-2 **Descrição** O problema está relacionado à neutralização inadequada de caracteres especiais utilizados em um comando SQL, também conhecida como injeção de SQL, na funcionalidade de gerenciamento de segurança. Isso permite que invasores remotos injetem comandos SQL por meio de vetores não especificados. **Recomendações** Para versões anteriores à 7.0.1-42218-2, atualize para a versão 7.0.1-42218-2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de Gerenciamento de Segurança para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do Helpdesk da QNAP Systems Inc. anteriores à 3.0.4 Descrição: Foi relatado um problema de controle de acesso inadequado, afetando o QNAP NAS. Esse problema permite que invasores remotos comprometam a segurança do software. Recomendações: Para versões anteriores à 3.0.4, atualize para a versão 3.0.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo Helpdesk para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do Video Station da QNAP Systems Inc. anteriores à 5.5.4 no QTS 4.5.2 Versões do Video Station da QNAP Systems Inc. anteriores à 5.5.4 no QuTS hero h4.5.2 Versões do Video Station da QNAP Systems Inc. anteriores à 5.5.4 no QuTScloud c4.5.4 Descrição: Foi relatada uma vulnerabilidade de injeção de comando que afeta determinadas versões do Video Station. Se explorada, essa vulnerabilidade permite que invasores remotos executem comandos arbitrários. Recomendações: Para versões anteriores à 5.5.4 no QTS 4.5.2, atualize para a versão 5.5.4 ou posterior. Para versões anteriores à 5.5.4 no QuTS hero h4.5.2, atualize para a versão 5.5.4 ou posterior. Para versões anteriores à 5.5.4 no QuTScloud c4.5.4, atualize para a versão 5.5.4 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Synology Calendar versions prior to 2.3.1-0617 **Description** The issue allows remote attackers to execute arbitrary commands via a crafted 'X-Real-IP' header. This is related to an OS command injection vulnerability in the drivers syno import user.php file. **Recommendations** For versions prior to 2.3.1-0617, update to version 2.3.1-0617 or later to resolve the issue. As a temporary workaround, consider restricting access to the 'X-Real-IP' header to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Synology Moments versions prior to 1.3.0-0691 **Description** The issue concerns a relative path traversal vulnerability. It allows remote authenticated users to upload arbitrary files via the `name` parameter. **Recommendations** For versions prior to 1.3.0-0691, update to version 1.3.0-0691 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Synology Photo Station versions prior to 6.8.5-3471 Synology Photo Station versions prior to 6.3-2975 **Description** A cross-site request forgery (CSRF) issue allows remote attackers to hijack the authentication of administrators. This can be achieved via the `username`, `password`, `admin`, `action`, `uid`, or `modify admin` parameter. **Recommendations** For Synology Photo Station versions prior to 6.8.5-3471, update to version 6.8.5-3471 or later. For Synology Photo Station versions prior to 6.3-2975, update to version 6.3-2975 or later.

**Name of the Vulnerable Software and Affected Versions** Synology Photo Station versions prior to 6.8.5-3471 Synology Photo Station versions prior to 6.3-2975 **Description** The issue is related to a permissive regular expression vulnerability in the synophoto dsm user component of Synology Photo Station. This vulnerability allows remote authenticated users to conduct privilege escalation attacks. The attack is carried out via the `fullname` parameter. **Recommendations** For versions prior to 6.8.5-3471, update to version 6.8.5-3471 or later. For versions prior to 6.3-2975, update to version 6.3-2975 or later.