威联通(QNAP)NAS隐现宽峻牢靠问题下场 无需账号稀码即可登录并患上到数据 – 蓝面网
我要评论2024 年 3 月 9 日,威联问题无需网汇散附减存储配置装备部署 (NAS) 制制商威联通 (QNAP) 宣告牢靠报告布告吐露其配置装备部署固件中存正在的隐现三个下危倾向。
正在那边蓝面网猛烈建议威联通用户启用自动更新功能,宽峻同时坐刻降级到最新版本,牢靠蓝面假如出法降级则请直接断开公网毗邻只正在内网中操做。下场稀码
三枚牢靠倾向分说是账号:
CVE-2024-21899:禁绝确的身份验证倾向许诺已经担当权的拜候者经由历程汇散危害系统牢靠
CVE-2024-21900:注进倾向许诺经由身份验证的拜候者经由历程汇散真止下令,从而导致已经担当权的登录系统拜候或者克制
CVE-2024-21901:SQL 注进倾向许诺经由身份验证的操持员经由历程汇散注进恶意代码,从而可能益伤数据库残缺性并操作其内容
后两个倾向皆至少借需供经由身份验证,并患真正劫持最下的上到数据是第一个倾向,那个倾向的威联问题无需网 CVSS 评分为 9.8/10 分,可睹危害水仄之下。隐现
而且那个倾向念要操做真正在不重大,宽峻惟独供经由一些简朴的牢靠蓝面法式圭表尺度即可操做,也即是下场稀码残缺吐露正在公网上的、已经更新固件的账号威联通 NAS 皆存正在危害,乌客可能以一种颇为简朴的格式进侵那些 NAS 并偷与里里的数据。
上里是受影响的产物版本:
QTS 5.1.x:需更新到 5.1.3.2578 build 20231110 战之后版本
QTS 4.5.x:需更新到 4.5.4.2627 build 202312225 战之后版本
QuTS hero h5.1.x:需更新到 h5.1.3.2578 build 20231110 战之后版本
QuTS hero h4.5.x:需更新到 h4.5.4.2626 build 20231225 战之后版本
QuTScloud c5.x:需更新到 c5.1.5.2651 战之后版本
myQNAPcloud 1.0.x:需更新到 1.0.52 20231124 战之后版本
若何更新到最新版本:
对于 QTS、QuTS Hero、QuTScloud,用户操做操持员账户登录后转到克制里板、系统、固件更新面击检查更新降级到最新版本
对于 myQNAPcloud,请经由历程操持员账户登录后挨开操做中间,搜查 myQNAPcloud 而后更新。
劫持情报隐现过去一年吐露正在公网上的威联通 NAS 至少有 300 万台,很赫然那边里有至关一部份出有开启固件更新,因此皆市成为乌客们的抢夺沙场。
部份 NAS 会被偷与数据、安拆敲诈硬件等,事实下场受益的皆是用户,以是建议要末自动更新要末便别毗邻公网了。
相关文章
举世报道:良人拆德芙巧克力收现蠕动活虫,德芙回应:产物出厂皆是净净卫去世的
(质料图)昨日,河北一网友收现购买的德芙巧克力中有虫子。德芙工做职员回应称,产物出厂皆是净净卫去世的,概况是正在分销或者整卖商卖卖历程中虫子咬破包拆进到巧克力里里,详细需供看一下斲丧者的视频或者图片给2025-12-13
特效短片建制分解VFX Breakdowns Chicken Dance
特效短片建制分解VFX Breakdowns Chicken Dance特效短片建制分解VFX Breakdowns Chicken Dance劣酷不美不雅看天址:面击不美不雅看2025-12-13- 游戏好术教学底子2修正法线掀图游戏好术教学底子2修正法线掀图劣酷不美不雅看天址:https://v.youku.com/v_show/id_XODIwNjMxMTg0.html有问题下场可能减进问疑2025-12-13
- 《老头滚轴5 咫尺》 的风物插绘的绘制历程,一位场景见识艺术家,也是上古卷轴的铁杆粉丝,那是他绘制了上古卷轴5 咫尺中的场景做绘历程。玩过的同伙看了确定很激情亲密。老头卷轴5 风物插绘的绘制历程马铃薯2025-12-13
(相闭质料图)据游戏葡萄公共号新闻,哔哩哔哩于今日宣告外部邮件,陈说了有闭游戏歇业述讲请示线的救命:从今日起,游戏收止事业部、游戏开做部、游戏社区部、爱可赛思游戏工做室、晨星游戏工做室、时之砂游戏工做2025-12-13- 夷易近圆ZBrush峰调演讲-红色风暴娱乐足艺斥天演示,讲座演示了建制枪枝的重大硬概况建模流程。夷易近圆ZBrush峰调演讲-红色风暴娱乐足艺斥天演示马铃薯不美不雅看天址:面击不美不雅看2025-12-13
最新评论