Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「QVR」が稼働するQNAP製NASにRCEの脆弱性が判明

「QVR」が稼働する「QNAP」の機器において、リモートよりコマンドを実行される脆弱性が明らかとなった。

コマンドインジェクションの脆弱性「CVE-2021-34352」が明らかとなったもの。脆弱性を悪用されると、リモートより任意のコマンドを実行されるおそれがあるという。

今回の脆弱性についてQNAPでは、サポートが終了した特定のデバイスが影響を受けると説明しているが、具体的なモデル名などは示していない。修正は「QVR5.1.5ビルド20210902」および以降のバージョンで行われたとしている。

共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると、QNAPでは悪用にあたり高いユーザー権限が必要であるとして「7.2」と評価。一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、脆弱性の悪用に権限は必要ないとしており、「9.8」とレーティングしている。

(Security NEXT - 2021/10/14 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Surface Pro 3」にセキュアブート回避の脆弱性 - 他社機器も影響を受ける可能性
Sophos製のセカンドオピニオン用マルウェア駆除ソフトに脆弱性
ジュニパー、10月の月例更新で脆弱性71件に対処 - 深刻な脆弱性も
「Apache Tomcat」にサービス拒否の脆弱性 - 10月初旬の更新で修正済み
Adobe、複数製品にセキュリティ更新 - CVSS基本値「9.8」の脆弱性も
SAP、月例パッチ13件をリリース - 重要度がもっとも高い「HotNews」は2件
VMware、「vRO」など複数製品の脆弱性を修正
「Adobe Acrobat/Reader」に深刻な脆弱性 - 修正パッチが公開
MS、10月の月例セキュリティ更新をリリース - ゼロデイ脆弱性1件含む74件を解消
Google、「Chrome 94.0.4606.81」を公開 - 脆弱性4件を修正