Vulnérabilité dans les NAS QNAP
Date de publication :
CVE-2021-28809 [Score CVSS v3 : 9.8]
Une vulnérabilité au sein des NAS QNAP a été corrigée. La faille spécifique existe dans le serveur RTSS, qui écoute sur le port TCP 8899 par défaut. Le problème résulte de l'absence d'authentification avant d'autoriser les modifications de la configuration du système. Son exploitation peut permettre à un attaquant distant et non authentifié d'exécuter du code arbitraire sur les installations affectées de NAS QNAP.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- QTS 4.3.6: HBS 3 versions antérieures à 3.0.210507 ;
- QTS 4.3.4: HBS 3 versions antérieures à 3.0.210506 ;
- QTS 4.3.3: HBS 3 versions antérieures à 3.0.210506.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les dispositifs impactées conformément aux instructions du constructeur QNAP.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.