ITCOW牛新网 3月9日消息,网络存储设备制造商威联通(QNAP)近日发布了一份安全公告,警告用户其多款NAS(网络附加存储)软件产品中存在严重的安全漏洞。这些漏洞可能会让攻击者远程访问并控制受影响的设备,对用户的数据安全构成严重威胁。
根据公告,受影响的软件产品包括QTS、QuTS hero、QuTScloud和myQNAPcloud等,这些产品广泛应用于企业和个人用户的网络存储解决方案中。具体而言,以下三个漏洞被标注为高风险:
- CVE-2024-21899:此漏洞由于不正确的验证机制,使得未经授权的用户能够通过网络远程破坏系统的安全性。这意味着攻击者可以在没有合法权限的情况下访问设备,并可能窃取或篡改存储在其上的数据。
- CVE-2024-21900:该漏洞允许已通过身份验证的用户在网络上执行任意命令。这意味着即使是合法的用户,也可能在不知情的情况下被利用来执行恶意操作,从而导致未经授权的系统访问或控制。
- CVE-2024-21901:此漏洞针对的是通过身份验证的管理员用户。攻击者可以利用该漏洞注入恶意SQL代码,从而破坏数据库的完整性并篡改其内容。这可能导致重要数据的丢失或损坏,甚至可能被用来窃取敏感信息。
威联通在公告中明确指出,这些漏洞影响到多个操作系统版本,包括QTS 5.1.x、QTS 4.5.x、QuTS hero h5.1.x、QuTS hero h4.5.x、QuTScloud c5.x和myQNAPcloud 1.0.x服务。为了应对这一安全威胁,威联通已经发布了相应的安全补丁,并敦促用户尽快升级到以下版本:
- QTS 5.1.3.2578 Build 20231110或更高版本
- QTS 4.5.4.2627 build 20231225或更高版本
- QuTS hero h5.1.3.2578 build 20231110或更高版本
- QuTS hero h4.5.4.2626 build 20231225或更高版本
- QuTScloud c5.1.5.2651或更高版本
- myQNAPcloud 1.0.52 (2023/11/24)或更高版本
威联通强调,用户应尽快采取行动,确保自己的设备升级到最新版本,以防范潜在的安全风险。同时,用户还应保持警惕,密切关注威联通发布的安全公告和更新信息,及时应对可能出现的新威胁。