Vulnerabilidad en los NAS que ejecutan Q'center en QNAP (CVE-2021-28807)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
03/06/2021
Última modificación:
14/09/2021
Descripción
Se ha reportado una vulnerabilidad de tipo XSS reflejada después de la autenticación que afecta los NAS de QNAP que ejecuta Q'center. Si es explotada, esta vulnerabilidad permite a atacantes remotos inyectar código malicioso. QNAP ya ha corregido esta vulnerabilidad en las siguientes versiones de Q'center: versiones QTS 4.5.3: Q'center v1.12.1012 y posteriores, versión QTS 4.3.6: Q'center v1.10.1004 y posteriores, versión QTS 4.3.3: Q'center v1.10.1004 y posteriores, versión QuTS hero h4.5.2: Q'center v1.12.1012 y posteriores, versión QuTScloud c4.5.4: Q'center v1.12.1012 y posteriores
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:qnap:q\'center:*:*:*:*:*:*:*:* | 1.12.1012 (excluyendo) | |
| cpe:2.3:o:qnap:qts:4.5.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:qnap:q\'center:*:*:*:*:*:*:*:* | 1.10.1004 (excluyendo) | |
| cpe:2.3:o:qnap:qts:4.3.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:qnap:q\'center:*:*:*:*:*:*:*:* | 1.10.1004 (excluyendo) | |
| cpe:2.3:o:qnap:qts:4.3.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:qnap:q\'center:*:*:*:*:*:*:*:* | 1.12.1012 (excluyendo) | |
| cpe:2.3:o:qnap:quts_hero:h4.5.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:qnap:q\'center:*:*:*:*:*:*:*:* | 1.12.1012 (excluyendo) | |
| cpe:2.3:o:qnap:qutscloud:c4.5.4:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página