Multiples vulnérabilités dans les produits Qnap

Gestion du document

Référence	CERTFR-2023-AVI-0931
Titre	Multiples vulnérabilités dans les produits Qnap
Date de la première version	13 novembre 2023
Date de la dernière version	13 novembre 2023
Source(s)	Bulletin de sécurité Qnap QSA-23-24 du 11 novembre 2023 Bulletin de sécurité Qnap QSA-23-50 du 11 novembre 2023
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Exécution de code arbitraire à distance

Systèmes affectés

Qnap QuMagie versions 2.1.x antérieures à 2.1.4
Qnap QTS versions 5.0.x antérieures à 5.0.1.2376 build 20230421
Qnap QuTS hero versions h5.0.x antérieures à h5.0.1.2376 build 20230421
QNap QuTScloud versions c5.x antérieures à c5.1.0.2498

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Qnap. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Qnap QSA-23-50 du 11 novembre 2023
https://www.qnap.com/fr-fr/security-advisory/qsa-23-50
Bulletin de sécurité Qnap QSA-23-24 du 11 novembre 2023
https://www.qnap.com/fr-fr/security-advisory/qsa-23-24
Référence CVE CVE-2023-23367
https://www.cve.org/CVERecord?id=CVE-2023-23367
Référence CVE CVE-2023-39295
https://www.cve.org/CVERecord?id=CVE-2023-39295
Référence CVE CVE-2023-41284
https://www.cve.org/CVERecord?id=CVE-2023-41284
Référence CVE CVE-2023-41285
https://www.cve.org/CVERecord?id=CVE-2023-41285

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Qnap