QNAP Systems a corrigé une vulnérabilité critique affectant les périphériques de stockage en réseau QNAP, qui pourrait être exploitée par des attaquants distants pour injecter du code malveillant dans un système vulnérable.
Heureusement pour les propriétaires de NAS QNAP, il n’est pas fait mention d’une exploitation par des pirates ou d’un exploit disponible publiquement.
L’avis de QNAP n’offre pas plus de détails sur la CVE-2022-27596, mais l’entrée de la vulnérabilité dans la base de données nationale des vulnérabilités du NIST révèle que la faille peut permettre aux attaquants d’exécuter une attaque par injection SQL, en raison d’une « neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL ».
La vulnérabilité affecte les appareils QNAP utilisant la version 5.0.1 du système d’exploitation QTS pour les appareils NAS QNAP d’entrée et de milieu de gamme et les versions h5.0.1 de QuTS hero, le système d’exploitation pour les modèles NAS QNAP de haut de gamme et d’entreprise.
Les périphériques NAS QNAP sont souvent la cible d’acteurs menaçants qui utilisent différents types de ransomware.
Aucune solution de contournement de cette faille n’est disponible et QNAP conseille aux utilisateurs de mettre à jour leurs appareils immédiatement.
