Vulnérabilités dans DVR PRO, QVR GUARD et QVR ELITE de QNAP
Date de publication :
QNAP NAS(Network Attached Storage) est un ensemble de technologies intelligentes pour le stockage de données informatiques. Les vulnérabilités présentées dans ce bulletin concernent trois produits QNAP NAS : QVR PRO, QVR ELITE, et QVR GUARD.
CVE-2021-38682CVE-2021-38689CVE-2021-38690CVE-2021-38691CVE-2021-38692[Score CVSS v3.1: 8.1]
Un risque de débordement de mémoire tampon a été découvert dans les produits QVRPro, QVR Elite et QVR Guard de QNAP. L’exploitation de cette vulnérabilité par un attaquant distant peut permettre l’exécution de code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3.1: 8.1 max
La faille est activement exploitée
- Non, pour l’ensemble des CVE présentés
Un correctif existe
- Oui, pour l’ensemble des CVE présentés
Une mesure de contournement existe
- Non, pour l’ensemble des CVE présentés
Les vulnérabilités exploitées sont du type
CWE-120: Buffer Copy without Checking Size of Input
Détails sur l’exploitation
- Vecteur d’attaque : Réseau
- Complexité de l’attaque : Haute
- Privilèges nécessaires pour réaliser l’attaque : Non
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
- Les versions antérieures à QVR Elite 2.1.4.0.
- Les versions antérieures à QVR Pro 2.1.3.0.
- Les versions antérieures à QVR Guard 2.1.3.0.
Solutions ou recommandations
- Effectuer la mise à jour de QNAP QVR pro, QVR Elite et QVR Guard vers la dernière version. Plus d’information sont disponible ici.