QNAP製NASなどに複数の脆弱性が発見 最新アップデートの適用を推奨

[ITmedia]

　QNAPはこのほど、同社製NASに採用するOS「QTS」などにおける複数の脆弱性についての告知を行った。

　該当する環境はQTS 4.5.x/5.1.x、QuTS hero h4.5.x/h5.1.x、QuTScloud c5.x、myQNAPcloud 1.0.xで、「脆弱性を利用した不正認証を用いてネットワーク経由でセキュリティに侵害を及ぼす危険性」（CVE-2024-21899）、「インジェクションの脆弱性を悪用し、認証されたユーザーがネットワーク経由でコマンドを実行できしてしまう可能性（CVE-2024-21900）、「SQLインジェクションの脆弱性により認証された管理者にインジェクション攻撃が行われる可能性」（CVE-2024-21901）の3種の脆弱性が報告されている。

　なおこれらの脆弱性については、現時点で提供されている各環境の最新版（QTS 4.5.4.2627 build 20231225 and later/QTS 5.1.3.2578 build 20231110 and later、QuTS hero h4.5.4.2626 build 20231225 and later/QuTS hero h5.1.3.2578 build 20231110 and later、QuTScloud c5.1.5.2651 and later、myQNAPcloud 1.0.52 (2023/11/24) and later）にて修正済みとなっている。