Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

QNAP製NASやアドオンに脆弱性 - 旧アドバイザリも更新、影響大きい脆弱性を追加

QNAP Systemsは、現地時間4月25日に同社ネットワークストレージ製品に関する複数のセキュリティアドバイザリを公開した。また3月に公開したアドバイザリを更新し、修正内容に深刻な脆弱性を追加している。

今回あらたに公開された情報において、特に影響が大きいのは、同社製NASに搭載されている「QTS」「QuTS hero」「QuTScloud」「myQNAPcloud」「myQNAPcloud Link」に関する脆弱性。

3月のアドバイザリ公開当初より、重要度をもっとも高い「クリティカル(Critical)」とレーティングしており、認証の不備「CVE-2024-21899」などあわせて3件の脆弱性を修正したと説明していた。

同社は同アドバイザリを更新し、修正内容に脆弱性3件を追加。OSコマンドインジェクションの脆弱性「CVE-2024-32766」や、重要な機能において認証が欠如している「CVE-2024-32764」に対応したことを明らかにした。

共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると、「CVE-2024-32766」が最高値である「10.0」、「CVE-2024-32764」が「9.9」と高く、従来より公表している「CVE-2024-21899」の「9.8」を凌ぐスコアとなっている。

(Security NEXT - 2024/05/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

一部従業員情報がグループ内で閲覧可能に、BIツールで設定ミス - デンソー
個人情報含むファイルを第三者へメール誤送信 - 森林総合研究所
「LANSCOPE」エンドポイント管理製品に脆弱性 - 4月以降、攻撃を観測
「無印良品」通販サイトで出荷停止 - アスクル障害が波及
プロキシサーバ「Squid」に認証情報が漏洩する深刻な脆弱性
「MS Edge」にアップデート - セーフブラウジング関連の脆弱性を解消
手書き帳票デジタル化サービスにサイバー攻撃 - 情報流出の可能性
「Chrome」のセーフブラウジングに脆弱性 - 修正版が公開
ランサム被害でアスクル3サイトが出荷停止 - 既存注文はキャンセル対応
【特別企画】脅威動向や実務者が身をもって学んだノウハウなど共有する年次イベント