Vulnérabilités dans QVR de QNAP VS NVR

Les experts en cyber sécurité du centre de coordination Japonais JPCERT (centre spécialisé dans la vigilance et la réponse aux incidents du domaine cybersécurité) ont identifié deux vulnérabilités concernant le produit QVR de l’entreprise QNAP. Le produit QVR est un système d’exploitation qui permet à l’utilisateur d'avoir un système de vidéo-surveillance. Des informations supplémentaires sur ce système sont disponible ici.

CVE-2021-38685[Score CVSS v3.1: 9.8]
Cette première vulnérabilité est du type « injection de commande » et concerne le produit QVR de QNAP VS NVR. Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité, en injectant des commandes malveillantes via l’interface du produit, afin d’exécuter du code arbitraire et compromettre intégralement le système d’exploitation. Cette vulnérabilité ne semble pas être exploitée pour le moment.

CVE-2021-38686[Score CVSS v3.1: 8.8]
Cette seconde vulnérabilité est du type « contrôle incorrecte de l’authentification » et concerne aussi le produit QVR de QNAP VS NVR. Les experts ont constaté l’existence d’une erreur dans le traitement des requêtes liées à l’authentification. Cette erreur provoque un dysfonctionnement empêchant le contrôle de s’effectuer de manière optimale. Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité, en profitant du contrôle incorrect d’authentification, pour générer un déni de service. Cette vulnérabilité ne semble pas être exploitée pour le moment.