SoftNAS Cloud 4.2.0和4.2.1允许远程命令执行。 NGINX默认配置文件具有检查以验证用户cookie的状态。如果未设置,则会将用户重定向到登录页面。可以为此cookie提供任意值,以便在没有有效用户凭据的情况下访问Web界面。如果客户未遵循SoftNAS部署最佳实践并将SoftNAS StorageCenter端口直接暴露给Internet,则此漏洞允许攻击者访问Webadmin界面以创建新用户或使用管理权限执行任意命令,从而危及平台和数据。
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
https://www.softnas.com/