S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 13 février 2024
N° CERTFR-2024-AVI-0118
Affaire suivie par: CERT-FR
le 13 février 2024

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Qnap

Gestion du document

Référence CERTFR-2024-AVI-0118
Titre Multiples vulnérabilités dans les produits Qnap
Date de la première version 13 février 2024
Date de la dernière version 13 février 2024
Source(s) Bulletin de sécurité Qnap QSA-23-57 du 13 février 2024
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Exécution de code arbitraire à distance

Systèmes affectés

  • QTS versions 5.x.x antérieures à 5.1.5.2645 build 20240116
  • QTS versions 5.x.x antérieures à 5.1.5.2645 build 20240116
  • QTS versions 4.4.x antérieures à 4.5.4.2627 build 20231225
  • QTS versions 4.3.x postérieures à 4.3.5 et antérieures à 4.3.6.2665 build 20240131
  • QTS versions 4.3.4 antérieures à 4.3.4.2675 build 20240131
  • QTS versions 4.3.x antérieures à 4.3.3.2644 build 20240131
  • QTS versions 4.2.x antérieures à 4.2.6 build 20240131
  • QuTS hero versions h5.x.x antérieures à h5.1.5.2647 build 20240118
  • QuTS hero versions h4.x antérieures à h4.5.4.2626 build 20231225
  • QuTScloud versions c5.x antérieures à c5.1.5.2651

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Qnap. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance.

Contournement provisoire

S’il n’est pas possible de procéder à l’installation d’une version corrigeant la vulnérabilité, se référer aux mesures de contournement proposées par l’éditeur à la section Mitigation.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 février 2024
    Version initiale