Vulnérabilité dans QNAP NAS QTS (extension media streaming)
Date de publication :
CVE-2021-34362[Score CVSS v3.1: 8.7]
L’extension Media Streaming est un outil qui permet de diffuser du contenu multimédia depuis un NAS (Netwotrk Attached Storage) vers différents appareils DLNA, Chromecast et HDMI simultanément en utilisant des applications comme Photo Station ou File Station.Le chercheur Tony Martin, en collaboration avec QNAP Security, a étudié une vulnérabilité de type « injection de commande » dans cette extension QNAP NAS QTS. Un attaquant distant peut exploiter cette vulnérabilité pour effectuer une exécution de code arbitraire sur l’appareil.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de commande
Criticité
- Score CVSS v3.1: 8.7
CVE
Composants vulnérables.
Les versions suivantes ne sont pas concernées par la vulnérabilité car elles sont déjà protégées :
- La version QTS 5.0.0: Media Streaming 500.0.0.3 et les versions ultérieures.
- La version QTS 4.5.4: Media Streaming 500.0.0.3 et les versions ultérieures.
- La version QTS 4.3.6: Media Streaming 430.1.8.12 et les versions ultérieures.
- La version QTS 4.3.3: Media Streaming 430.1.8.12 et les versions ultérieures.
- La version QuTS héro h5.0.0: Media Streaming 500.0.0.3 et les versions ultérieures.
Toutes les versions qui ne sont pas dans liste ci-dessus sont donc vulnérables.
Solutions ou recommandations
- Télécharger et installer la dernière mise à jour.
Processus de mise à jour:
Étape 1 – Se connecter à QTS en tant qu’administrateur.
Étape 2 – Lancer la recherche « Media Sgtreaming add-on ».
Étape 3 – Sélectionner « mise à jour ».
Étape 4 – Attendre qu’un message de confirmation apparaisse puis accepter.
Important : si votre extension est déjà à jour, aucune mise à jour ne sera présentée.
Pour plus d’information : https://www.qnap.com/en/security-advisory/qsa-21-44