Risque(s)

  • Exécution de code arbitraire
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • QuTS hero versions antérieures à h4.5.1.1472 build 20201031
  • QTS versions antérieures à 4.5.1.1456 build 20201015
  • QTS versions antérieures à 4.4.3.1354 build 20200702
  • QTS versions antérieures à 4.3.6.1333 build 20200608
  • QTS versions antérieures à 4.3.4.1368 build 20200703
  • QTS versions antérieures à 4.3.3.1315 build 20200611
  • QTS versions antérieures à 4.2.6 build 20200611
  • Music Station pour QuTS hero h4.5.1 versions antérieures à 5.3.13
  • Music Station pour QTS 4.5.1 et QTS 4.4.3 versions antérieures à 5.3.12
  • Multimedia Console versions antérieures à 1.1.5
  • Photo Station pour QTS 4.5.1 et QTS 4.4.3 versions antérieures à 6.0.12
  • Photo Station pour QTS 4.3.6 versions antérieures à 5.7.12
  • Photo Station pour QTS 4.3.4 versions antérieures à 5.7.13
  • Photo Station pour QTS 4.3.3 versions antérieures à 5.4.10
  • Photo Station pour QTS 4.2.6 versions antérieures à 5.2.11

Résumé

De multiples vulnérabilités ont été découvertes dans QNAP QTS et QuTS hero. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et une injection de code indirecte à distance (XSS).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation