Yaniv Puyeski

**Nome do software vulnerável e versões afetadas** Versões do NAS QNAP anteriores ao QTS 4.3.3.1624 Build 20210416 Versões do QNAP NAS anteriores ao QTS 4.3.6.1620 Build 20210322 Versões do QNAP NAS Multimedia Console anteriores à 1.3.4 Versões do complemento QNAP NAS Media Streaming anteriores à 430.1.8.8 Versões do complemento QNAP NAS Media Streaming anteriores à 430.1.8.10 **Descrição** Foi relatado um problema de injeção de SQL que afeta os NAS da QNAP que executam o Console Multimídia ou o complemento Media Streaming. Esse problema permite que invasores remotos obtenham informações do aplicativo explorando a vulnerabilidade, que está relacionada à falta de proteção contra ataques à estrutura de consultas SQL. **Recomendações** Para versões do QNAP NAS anteriores ao QTS 4.3.3.1624 Build 20210416, atualize para o QTS 4.3.3.1624 Build 20210416 ou posterior. Para versões do QNAP NAS anteriores ao QTS 4.3.6.1620 Build 20210322, atualize para o QTS 4.3.6.1620 Build 20210322 ou posterior. Para versões do QNAP NAS Multimedia Console anteriores à 1.3.4, atualize para o Multimedia Console 1.3.4 ou posterior. Para versões do complemento Media Streaming do QNAP NAS anteriores à 430.1.8.8, atualize para o complemento Media Streaming 430.1.8.8 ou posterior. Para versões do complemento Media Streaming do QNAP NAS anteriores à 430.1.8.10, atualize para o complemento Media Streaming 430.1.8.10 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do QTS anteriores à 4.5.2.1566 Build 20210202 Versões do QTS anteriores à 4.5.1.1495 Build 20201123 Versões do QTS anteriores à 4.3.6.1620 Build 20210322 Versões do QTS anteriores à 4.3.4.1632 Build 20210324 Versões do QTS anteriores à 4.3.3.1624 Build 20210416 Versões do QTS anteriores à 4.2.6 Build 20210327 Versões do QuTS hero anteriores à h4.5.1.1491 build 20201119 **Descrição** Foi relatada uma vulnerabilidade de injeção de comando que afeta o QTS e o QuTS hero, permitindo que invasores executem comandos arbitrários em um aplicativo comprometido ao enviar uma solicitação HTTP especial. Essa vulnerabilidade está relacionada à falta de medidas para neutralizar elementos especiais usados em comandos do sistema operacional. **Recomendações** Para versões do QTS anteriores à 4.5.2.1566 Build 20210202, atualize para o QTS 4.5.2.1566 Build 20210202 ou posterior. Para versões do QTS anteriores à 4.5.1.1495 Build 20201123, atualize para o QTS 4.5.1.1495 Build 20201123 ou posterior. Para versões do QTS anteriores à 4.3.6.1620 Build 20210322, atualize para o QTS 4.3.6.1620 Build 20210322 ou posterior. Para versões do QTS anteriores à 4.3.4.1632 Build 20210324, atualize para o QTS 4.3.4.1632 Build 20210324 ou posterior. Para versões do QTS anteriores à 4.3.3.1624 Build 20210416, atualize para o QTS 4.3.3.1624 Build 20210416 ou posterior. Para versões do QTS anteriores à 4.2.6 Build 20210327, atualize para o QTS 4.2.6 Build 20210327 ou posterior. Para versões do QuTS hero anteriores à h4.5.1.1491 build 20201119, atualize para o QuTS hero h4.5.1.1491 build 20201119 ou posterior.