CVE-2023-47218

Versões do QTS anteriores à 5.1.5.2645, compilação 20240116

Versões do QuTS hero anteriores à h5.1.5.2647, compilação 20240118

Versões do QuTScloud anteriores à c5.1.5.2651

Existe uma vulnerabilidade de injeção de comando no sistema operacional nas versões do sistema operacional QNAP devido à falta de neutralização de elementos especiais usados no comando do sistema operacional. Essa vulnerabilidade pode permitir que um invasor remoto execute comandos arbitrários por meio de uma rede. O problema está relacionado ao arquivo quick.cgi, que é usado para configurar sistemas não inicializados. Houve tentativas de explorar essa vulnerabilidade, com tentativas de execução de código direcionadas ao endpoint ‘/cgi-bin/quick/quick.cgi’.

Para versões do QTS anteriores à 5.1.5.2645 build 20240116, atualize para o QTS 5.1.5.2645 build 20240116 ou posterior.

Para versões do QuTS hero anteriores à h5.1.5.2647 build 20240118, atualize para o QuTS hero h5.1.5.2647 build 20240118 ou posterior.

Para versões do QuTScloud anteriores à c5.1.5.2651, atualize para o QuTScloud c5.1.5.2651 ou posterior.

Como solução temporária, considere restringir o acesso ao arquivo quick.cgi vulnerável até que um patch seja aplicado. Para mitigar o risco, atualize o firmware através do Painel de Controle > Sistema > Atualização de Firmware.