QNAP製NAS向け複数アプリに脆弱性 - アップデートで修正

QNAP SystemsのNAS製品向けアプリケーション「Qsync Central」「License Center」に脆弱性が判明した。アップデートが提供されている。

「License Center」では、リモートより任意のコマンドが実行可能となるコマンドインジェクションの脆弱性「CVE-2024-48863」が判明。重要度は4段階中、上から2番目にあたる「重要（Important）」と評価されている。

一方「Qsync Central」では、シンボリックリンクの悪用による脆弱性「CVE-2024-50404」が判明した。ユーザー権限を持つ場合に悪用が可能で、意図しないファイルシステムへのアクセスが可能となる。重要度は1段階低い「中（Moderate）」とレーティングされている。

同社は、「License Center 1.9.43」「Qsync Central 4.4.0.16_20240819」にて脆弱性を修正しており、これらバージョン以降へ更新するよう呼びかけている。

（Security NEXT - 2024/12/10 ） ツイート

PR

関連記事

分散ストレージ「RustFS」に認証回避の深刻な脆弱性
サイバー攻撃でシステム不正操作の可能性、影響範囲を調査 - ケイ・ウノ
SUSE「Harvester」インストーラに脆弱性 - 初期PWでSSH接続可能
「net-snmp」のトラップ処理に深刻な脆弱性 - 細工パケットでクラッシュのおそれ
Node.js環境向けPDF生成ライブラリに脆弱性 - 情報漏洩のおそれ
小学校の学校連絡システムで個人情報含む文書を誤送信 - 柏市
年末にランサム被害、提供クラウドに支障なし - 関西総合システム
WPホスティングサービス「ConoHa WING」用移行プラグインに脆弱性
海外出張中にPC盗難被害、遠隔からデータ消去 - 東大定量研
Teams設定ミスで個人情報含むファイルが学内閲覧可能に - 富山県大