Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el servidor proxy de la aplicación NAS de QNAP (CVE-2017-7637)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
05/06/2018
Última modificación:
12/07/2018

Descripción

El servidor proxy de la aplicación NAS de QNAP hasta la versión 1.2.0 permite que los atacantes remotos ejecuten comandos arbitrarios del sistema operativo contra el sistema con privilegios root.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:qnap:nas_proxy_server:*:*:*:*:*:*:*:* 1.3.0 (excluyendo)