QNAP製品に複数の脆弱性 深刻度は「重要」（High）に分類：セキュリティニュースアラート

QNAP SystemsはQTS 5.1.x、QuTS hero h5.1.x、QuMagie 2.2.x、Video Station 5.7.xなどの自社製品について脆弱性を発表した。修正版がリリースされており、適用が推奨される。

[後藤大地，有限会社オングス]

　QNAP Systemsは2024年1月6〜8日（現地時間）にかけて「QTS 5.1.x」「QuTS hero h5.1.x」「QuMagie 2.2.x」「Video Station 5.7.x」を含む製品に複数の脆弱（ぜいじゃく）性が存在することを発表した。

QNAP Systemsは自社製品において複数の脆弱性が存在することを発表した（出典：QNAP SystemsのWebサイト）

QNAP製品の脆弱性の詳細は？

　これらの脆弱性を悪用することで、不正なリモートアクセスやシステムクラッシュ、悪意あるコードの注入が可能になる。特に以下の製品に存在する脆弱性の深刻度は「重要」（High）に分類されていることから注意が必要だ。

• QTS 5.1.x
• QuTS hero h5.1.x
• QuMagie 2.2.x
• Video Station 5.7.x

　存在する脆弱性の主な内容は以下の通りだ。

• QTS 5.1.xおよびQuTS hero h5.1.x：　サイバー攻撃者がリモートから既存の属性を互換性のないタイプで上書きでき、結果としてシステムクラッシュを引き起こすことが可能となる
• QuMagie 2.2.x：　クロスサイトスクリプティング（XSS）の脆弱性を突いて認証されたユーザーがネットワーク経由で悪意あるコードを注入できる。また、認証されたユーザーがOSコマンドインジェクションの脆弱性を悪用してネットワーク経由でコマンドを実行可能
• Video Station 5.7.x：　SQLコマンドインジェクションを悪用してネットワーク経由で悪意あるコードの注入が可能となる。また、OSコマンドインジェクションの脆弱性を悪用してネットワーク経由でコマンドを実行できる

　脆弱性が修正されたプロダクトおよびバージョンは以下の通りだ。

• QTS 5.1.3.2578 build 20231110およびこれ以降のバージョン
• QuTS hero h5.1.3.2578 build 20231110およびこれ以降のバージョン
• QuMagie 2.2.1およびこれ以降のバージョン
• Video Station 5.7.2（2023/11/23）およびこれ以降のバージョン

　QNAP Systemsは該当製品を使用しているユーザーや管理者に対して脆弱性が修正された最新バージョンにアップデートすることを推奨している。脆弱性に関する情報はそれぞれ以下のページを確認してほしい。

• Vulnerability in QTS and QuTS hero - Security Advisory | QNAP
• Multiple Vulnerabilities in QuMagie - Security Advisory | QNAP
• Multiple Vulnerabilities in Video Station - Security Advisory | QNAP
• Vulnerability in Netatalk - Security Advisory | QNAP

　QNAP Systemsは2024年1月に入ってから上記以外にもより深刻度が低い脆弱性の影響を受ける製品の情報を公開している。上記製品を使っていない場合でも「Security Advisories | QNAP」から脆弱性情報を確認し、適切に対応を取ることが望まれる。