PT-2021-4453 · Qnap · Media Streaming Add-On+3
Yaniv Puyeski
·
Publicado
2021-04-17
·
Atualizado
2021-04-23
·
CVE-2020-36195
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do NAS QNAP anteriores ao QTS 4.3.3.1624 Build 20210416
Versões do QNAP NAS anteriores ao QTS 4.3.6.1620 Build 20210322
Versões do QNAP NAS Multimedia Console anteriores à 1.3.4
Versões do complemento QNAP NAS Media Streaming anteriores à 430.1.8.8
Versões do complemento QNAP NAS Media Streaming anteriores à 430.1.8.10
Descrição
Foi relatado um problema de injeção de SQL que afeta os NAS da QNAP que executam o Console Multimídia ou o complemento Media Streaming. Esse problema permite que invasores remotos obtenham informações do aplicativo explorando a vulnerabilidade, que está relacionada à falta de proteção contra ataques à estrutura de consultas SQL.
Recomendações
Para versões do QNAP NAS anteriores ao QTS 4.3.3.1624 Build 20210416, atualize para o QTS 4.3.3.1624 Build 20210416 ou posterior.
Para versões do QNAP NAS anteriores ao QTS 4.3.6.1620 Build 20210322, atualize para o QTS 4.3.6.1620 Build 20210322 ou posterior.
Para versões do QNAP NAS Multimedia Console anteriores à 1.3.4, atualize para o Multimedia Console 1.3.4 ou posterior.
Para versões do complemento Media Streaming do QNAP NAS anteriores à 430.1.8.8, atualize para o complemento Media Streaming 430.1.8.8 ou posterior.
Para versões do complemento Media Streaming do QNAP NAS anteriores à 430.1.8.10, atualize para o complemento Media Streaming 430.1.8.10 ou posterior.
Correção
RCE
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Media Streaming Add-On
Multimedia Console
Qnap Nas
Qts