阿里云漏洞库

漏洞描述

已报告发现影响多个QNAP操作系统版本的OS命令注入漏洞。如果利用该漏洞，经过身份认证的管理员可以通过网络执行命令。我们已在以下版本中修复了该漏洞：QTS 5.1.4.2596 build 20231128及更高版本，QuTS hero h5.1.4.2596 build 20231128及更高版本，QuTScloud c5.1.5.2651及更高版本。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://www.qnap.com/en/security-advisory/qsa-23-53

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	qnap	qts	5.1.0.2348	-
	运行在以下环境
	系统	qnap	qts	5.1.0.2399	-
	运行在以下环境
	系统	qnap	qts	5.1.0.2418	-
	运行在以下环境
	系统	qnap	qts	5.1.0.2444	-
	运行在以下环境
	系统	qnap	qts	5.1.0.2466	-
	运行在以下环境
	系统	qnap	qts	5.1.1.2491	-
	运行在以下环境
	系统	qnap	qts	5.1.2.2533	-
	运行在以下环境
	系统	qnap	qts	5.1.3.2578	-
	运行在以下环境
	系统	qnap	qts	5.1.4.2596	-
	运行在以下环境
	系统	qnap	qutscloud	c5.1.0.2498	-
	运行在以下环境
	系统	qnap	quts_hero	h5.1.0.2409	-
	运行在以下环境
	系统	qnap	quts_hero	h5.1.0.2424	-
	运行在以下环境
	系统	qnap	quts_hero	h5.1.0.2453	-
	运行在以下环境
	系统	qnap	quts_hero	h5.1.0.2466	-
	运行在以下环境
	系统	qnap	quts_hero	h5.1.1.2488	-
	运行在以下环境
	系统	qnap	quts_hero	h5.1.2.2534	-
	运行在以下环境
	系统	qnap	quts_hero	h5.1.3.2578	-
	运行在以下环境
	系统	qnap	quts_hero	h5.1.4.2596	-

攻击路径

网络
攻击复杂度

低
权限要求

高
影响范围

已更改
用户交互

无
可用性

无
保密性

低
完整性

低

CWE-ID	漏洞类型
CWE-77	在命令中使用的特殊元素转义处理不恰当（命令注入）
CWE-78	OS命令中使用的特殊元素转义处理不恰当（OS命令注入）

QTS、QuTS 英雄、QuTScloud (CVE-2023-41283)

漏洞描述

解决建议

参考链接

受影响软件情况