Qnap Systems多款产品跨站脚本漏洞

CVE编号

CVE-2020-2497

利用情况

暂无

补丁情况

N/A

披露时间

2020-12-10
漏洞描述
Qnap Systems QNAP QTS是中国Qnap Systems公司的一套Turbo NAS作业系统。该系统可提供档案储存、管理、备份,多媒体应用及安全监控等功能。QNAP Systems QUTS Hero是中国QNAP Systems公司的一款用于管理文件的NAS操作系统。该系统保留了QTS的应用生态,整合更强大的128位ZFS文件系统,为企业提供更稳定可靠的NAS存储解决方案。 Qnap Systems 多款产品存在跨站脚本漏洞,攻击者可利用该漏洞在证书配置中注入恶意代码。以下产品及版本受到影响:QuTS hero h4.5.1.1472 build 20201031 and later QTS 4.5.1.1456 build 20201015 and later QTS 4.4.3.1354 build 20200702 and later QTS 4.3.6.1333 build 20200608 and later QTS 4.3.4.1368 build 20200703 and later QTS 4.3.3.1315 build 20200611 and later QTS 4.2.6 build 20200611 and later。

解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 qnap qts * Up to
(excluding)
4.2.6
运行在以下环境
应用 qnap qts * Up to
(excluding)
4.3.3.1315
运行在以下环境
应用 qnap qts * Up to
(excluding)
4.3.4.1368
运行在以下环境
应用 qnap qts * Up to
(excluding)
4.3.6.1333
运行在以下环境
应用 qnap qts * Up to
(excluding)
4.4.3.1354
运行在以下环境
应用 qnap qts * Up to
(excluding)
4.5.1.1456
运行在以下环境
应用 qnap quts_hero * Up to
(excluding)
4.5.1.1472
运行在以下环境
系统 alpine_3.10 nasm * Up to
(excluding)
2.9.9-r4
运行在以下环境
系统 alpine_3.11 nasm * Up to
(excluding)
2.9.10-r4
运行在以下环境
系统 alpine_3.12 nasm * Up to
(excluding)
2.9.10-r5
运行在以下环境
系统 alpine_3.13 nasm * Up to
(excluding)
3.7.2-r0
运行在以下环境
系统 alpine_3.9 nasm * Up to
(excluding)
2.9.9-r3
运行在以下环境
系统 alpine_edge nasm * Up to
(excluding)
3.7.2-r0
运行在以下环境
系统 amazon_2 libxml2 * Up to
(excluding)
2.9.1-6.amzn2.5.3
运行在以下环境
系统 debian_10 nasm * Up to
(excluding)
18.08.3-1
运行在以下环境
系统 debian_11 nasm * Up to
(excluding)
20.08.2-2
运行在以下环境
系统 debian_9 nasm * Up to
(excluding)
16.04.2-2
运行在以下环境
系统 debian_sid nasm * Up to
(excluding)
20.08.2-2
运行在以下环境
系统 fedora_31 nasm * Up to
(excluding)
2.9.10-3.fc31
运行在以下环境
系统 fedora_32 nasm * Up to
(excluding)
19.12.2-2.fc32
运行在以下环境
系统 fedora_33 nasm * Up to
(excluding)
2.9.10-7.fc33
运行在以下环境
系统 opensuse_Leap_15.1 nasm * Up to
(excluding)
18.12.3-lp151.2.4.1
运行在以下环境
系统 opensuse_Leap_15.2 nasm * Up to
(excluding)
2-2.9.7-lp152.10.3.1
运行在以下环境
系统 sles_12_SP5 nasm * Up to
(excluding)
2.9.4-46.34.1
运行在以下环境
系统 suse_12_SP5 libxml2 * Up to
(excluding)
2.9.4-46.34.1
运行在以下环境
系统 ubuntu_18.04.5_lts libxml2 * Up to
(excluding)
2.9.4+dfsg1-6.1ubuntu1.4
CVSS3评分
6.1
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    已更改
  • 用户交互
    需要
  • 可用性
  • 保密性
  • 完整性
CWE-ID 漏洞类型
CWE-79 在Web页面生成时对输入的转义处理不恰当(跨站脚本)
阿里云安全产品覆盖情况