Vulnerabilidades en QTS y QuTS hero – Aviso de seguridad
Resumen
Se han informado múltiples vulnerabilidades que afectan ciertas versiones del sistema operativo QNAP:
- CVE-2024-21902: Si se explota, esta vulnerabilidad sobre la asignación incorrecta de permisos para un recurso crítico podría permitir a los usuarios autenticados leer o modificar el recurso a través de una red.
- CVE-2024-27127: Si se explota, esta doble vulnerabilidad gratuita podría permitir a usuarios autenticados ejecutar código arbitrario a través de una red.
- CVE-2024-27128, CVE-2024-27129, CVE-2024-27130: si se explotan, estas vulnerabilidades sobre la copia del búfer sin verificar el tamaño de la entrada podrían permitir a los usuarios autenticados ejecutar código arbitrario a través de una red.
Ya hemos solucionado estas vulnerabilidades en las siguientes versiones:
Producto afectado | Versión fija |
QTS 5.1.x | QTS 5.1.7.2770 compilación 20240520 y posteriores |
Héroe QTS h5.1.x | QuTS hero h5.1.7.2770 compilación 20240520 y posteriores |
Recomendación
Para proteger su dispositivo, le recomendamos actualizar periódicamente su sistema a la última versión para beneficiarse de las correcciones de vulnerabilidades. Puedes comprobar el estado de soporte del producto para ver las últimas actualizaciones disponibles para su modelo de NAS.
Actualización de QTS, QuTS hero o QuTScloud
- Inicie sesión en QTS, QuTS Hero o QuTScloud como administrador.
- Ir a Panel de control > Sistema > Actualización de firmware.
- Bajo Actualización en vivohaga clic Buscar actualizaciones.
El sistema descarga e instala la última actualización disponible.
Consejo: También puede descargar la actualización desde el sitio web de QNAP. Ir a Apoyo > Centro de descargas y luego realice una actualización manual para su dispositivo específico.
Adjunto
Agradecimientos: Aliz Hammond de WatchTowr
Revisión histórica:
V1.0 (21 de mayo de 2024): publicado