聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

QNAP提醒客户安装QTS和QuTS固件更新。该更新修复了一个严重漏洞 (CVE-2022-27596)，可导致远程攻击者在QNAP NAS设备上注入恶意代码。

该漏洞是“严重”级别的漏洞，CVSS评分为9.8，影响操作系统QTS 版本5.0.1和QuTS hero版本h5.0.1。安全公告指出，该漏洞如遭利用，“可导致远程攻击者注入恶意代码”。

QNAP 公司并未透露太多漏洞详情或利用可能，但将其描述为SQL注入漏洞。SQL注入漏洞可导致攻击者在易受攻击设备上发送特殊构造的请求以修改合法SQL查询，执行异常行为。另外，QNAP发布JSON文件说明了该漏洞的严重性。文件指出，该漏洞易遭远程攻击者在低复杂攻击活动利用，而无需任何用户交互或目标设备权限。

QNAP表示，在 QTS和QuTS hero 上运行的用户设备应当更新至如下版本：

• QTS 5.0.1.2234 build 20221201及后续版本

• QuTS hero h5.0.1.2248 build 20221215及后续版本

要执行该更新，客户可以管理员用户身份登录设备并进入“控制面板—系统---固件更新”。在“实时更新”部分，点击“检查更新”选项并等待下载和安装完成。或者，用户可从QNAP的下载中心下载更新，方法是选择正确的产品类型和型号并手动应用到设备。

QNAP的安全公告并未将该漏洞列为在野活跃利用状态。然而，鉴于漏洞的严重性，建议用户尽快应用可用的安全更新，因为QNAP漏洞历来是攻击者的目标。QNAP设备已成为正在进行的勒索攻击活动DeadBolt和eCh0raix的目标，这些勒索活动滥用多种漏洞在被暴露的NAS设备上加密数据。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

---

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

QNAP紧急修复已遭勒索团伙利用的0day

严重的PHP缺陷可导致QNAP NAS 设备遭RCE攻击

QNAP 修复 NAS 备份应用中的严重漏洞

QNAP 提醒客户注意 eCh0raix 勒索攻击和 Room Server 0day

原文链接

https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-bug-letting-hackers-inject-malicious-code/

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~