CVE-2023-34971

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-326 Fortaleza de cifrado inadecuada

Fecha de publicación:

24/08/2023

Última modificación:

31/08/2023

Descripción

*** Pendiente de traducción *** An inadequate encryption strength vulnerability has been reported to affect QNAP operating systems. If exploited, the vulnerability possibly allows local network clients to decrypt the data using brute force attacks via unspecified vectors. We have already fixed the vulnerability in the following versions: QTS 5.0.1.2425 build 20230609 and later QTS 5.1.0.2444 build 20230629 and later QTS 4.5.4.2467 build 20230718 and later QuTS hero h5.1.0.2424 build 20230609 and later QuTS hero h4.5.4.2476 build 20230728 and later

Impacto

Vector 3.x

CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:qnap:qts::::::::	4.5.4 (incluyendo)	4.5.4.2467 (excluyendo)
cpe:2.3:o:qnap:qts::::::::	5.0.1 (incluyendo)	5.0.1.2425 (excluyendo)
cpe:2.3:o:qnap:qts::::::::	5.1.0 (incluyendo)	5.1.0.2444 (excluyendo)
cpe:2.3:o:qnap:quts_hero::::::::	h4.5.4 (incluyendo)	h4.5.4.2476 (excluyendo)
cpe:2.3:o:qnap:quts_hero::::::::	h5.1.0 (incluyendo)	h5.1.0.2424 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://www.qnap.com/en/security-advisory/qsa-23-60