Vulnerabilidad en los dispositivos de QNAP que ejecutan QuTScloud, QuTS hero, QTS, QVR Pro Appliance (CVE-2021-38693)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
05/05/2022
Última modificación:
13/05/2022
Descripción
Se ha informado de una vulnerabilidad de salto de ruta que afecta a los dispositivos de QNAP que ejecutan QuTScloud, QuTS hero, QTS, QVR Pro Appliance. Si es explotada, esta vulnerabilidad permite a atacantes leer el contenido de archivos no esperados y exponer datos confidenciales. Ya hemos corregido esta vulnerabilidad en las siguientes versiones de QuTScloud, QuTS hero, QTS, QVR Pro Appliance: QuTScloud c5.0.1.1949 y posteriores QuTS hero h5.0.0.1949 build 20220215 y posteriores QuTS hero h4.5.4.1951 build 20220218 y posteriores QTS 5.0.0.1986 build 20220324 y posteriores QTS 4.5.4.1991 build 20220329 y posteriores
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:qnap:qts:*:*:*:*:*:*:*:* | 4.5.4.1991 (excluyendo) | |
| cpe:2.3:o:qnap:qts:*:*:*:*:*:*:*:* | 5.0.0.1716 (incluyendo) | 5.0.0.1986 (excluyendo) |
| cpe:2.3:o:qnap:quts_hero:*:*:*:*:*:*:*:* | h5.0.0.1772 (incluyendo) | h5.0.0.1949 (excluyendo) |
| cpe:2.3:o:qnap:qutscloud:*:*:*:*:*:*:*:* | c5.0.1.1949 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página