W aplikacji myQNAPcloud Link firmy QNAP wykryto podatność polegającą na braku uwierzytelnienia dla krytycznych funkcji (CWE-306). Błąd umożliwia nieuwierzytelnionemu atakującemu dostęp przez sieć do funkcji, które powinny być chronione, co stanowi poważne zagrożenie dla integralności i poufności danych.
▸ Pokaż oryginał (EN)
A missing authentication for critical function vulnerability has been reported to affect myQNAPcloud Link. If exploited, the vulnerability could allow users with the privilege level of some functionality via a network. We have already fixed the vulnerability in the following version: myQNAPcloud Link 2.4.51 and later
Podatność wynika z braku wymaganego mechanizmu uwierzytelnienia przy dostępie do określonych, krytycznych funkcji aplikacji myQNAPcloud Link. Atakujący może, bez posiadania żadnych poświadczeń, wywołać te funkcje przez sieć. Połączone wektory CWE wskazują również na problemy z weryfikacją źródła żądania (CWE-346) oraz na udostępnianie funkcji, które powinny być niedostępne z zewnątrz (CWE-749). Szeroki zakres oddziaływania (Scope: Changed) sugeruje, że eksploatacja może wpłynąć na zasoby wykraczające poza samą aplikację.
Atakujący może uzyskać nieautoryzowany dostęp do chronionych funkcji aplikacji, co może prowadzić do modyfikacji lub usunięcia danych (wysoka integralność), a także do częściowego ujawnienia informacji (niska poufność) i obniżenia dostępności usługi.
Należy zaktualizować myQNAPcloud Link do wersji 2.4.51 lub nowszej. Patch jest dostępny u producenta — szczegóły w biuletynie bezpieczeństwa QNAP QSA-24-09 pod adresem https://www.qnap.com/en/security-advisory/qsa-24-09
QNAP myQNAPcloud Link — wszystkie wersje wcześniejsze niż 2.4.51
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:LQnap Myqnapcloud Link
APPQnap2.4.0 – 2.4.51 (bez)
Powiązane podatności
Insecure storage of sensitive information has been reported to affect QNAP NAS running myQNAPcloud Link. If ex...
An externally controlled reference to a resource vulnerability has been reported to affect QNAP NAS running Ph...
An improper authorization vulnerability has been reported to affect QNAP NAS running HBS 3 (Hybrid Backup Sync...
A command injection vulnerability has been reported to affect QTS and QuTS hero. If exploited, this vulnerabil...
If exploited, this command injection vulnerability could allow remote attackers to run arbitrary commands. QNA...