CRITICAL✓ PATCH🇬🇧 English

CVE-2024-32764

Brak uwierzytelnienia dla krytycznych funkcji w QNAP myQNAPcloud Link

CVSS 9.9v3.1pub. 2024-04-26upd. 2025-12-10

W aplikacji myQNAPcloud Link firmy QNAP wykryto podatność polegającą na braku uwierzytelnienia dla krytycznych funkcji (CWE-306). Błąd umożliwia nieuwierzytelnionemu atakującemu dostęp przez sieć do funkcji, które powinny być chronione, co stanowi poważne zagrożenie dla integralności i poufności danych.

Pokaż oryginał (EN)

A missing authentication for critical function vulnerability has been reported to affect myQNAPcloud Link. If exploited, the vulnerability could allow users with the privilege level of some functionality via a network. We have already fixed the vulnerability in the following version: myQNAPcloud Link 2.4.51 and later

🤖 Analiza AI
Jak działa

Podatność wynika z braku wymaganego mechanizmu uwierzytelnienia przy dostępie do określonych, krytycznych funkcji aplikacji myQNAPcloud Link. Atakujący może, bez posiadania żadnych poświadczeń, wywołać te funkcje przez sieć. Połączone wektory CWE wskazują również na problemy z weryfikacją źródła żądania (CWE-346) oraz na udostępnianie funkcji, które powinny być niedostępne z zewnątrz (CWE-749). Szeroki zakres oddziaływania (Scope: Changed) sugeruje, że eksploatacja może wpłynąć na zasoby wykraczające poza samą aplikację.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do chronionych funkcji aplikacji, co może prowadzić do modyfikacji lub usunięcia danych (wysoka integralność), a także do częściowego ujawnienia informacji (niska poufność) i obniżenia dostępności usługi.

Mitygacja

Należy zaktualizować myQNAPcloud Link do wersji 2.4.51 lub nowszej. Patch jest dostępny u producenta — szczegóły w biuletynie bezpieczeństwa QNAP QSA-24-09 pod adresem https://www.qnap.com/en/security-advisory/qsa-24-09

Kogo dotyczy

QNAP myQNAPcloud Link — wszystkie wersje wcześniejsze niż 2.4.51

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:L
  • Qnap Myqnapcloud Link

    APP
    Qnap
    2.4.0 – 2.4.51 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2021-28815MEDIUM6.0ten sam produkt

Insecure storage of sensitive information has been reported to affect QNAP NAS running myQNAPcloud Link. If ex...

CVE-2022-27593CRITICAL10.0⚠ KEVten sam vendor

An externally controlled reference to a resource vulnerability has been reported to affect QNAP NAS running Ph...

CVE-2021-28799CRITICAL10.0⚠ KEVten sam vendor

An improper authorization vulnerability has been reported to affect QNAP NAS running HBS 3 (Hybrid Backup Sync...

CVE-2020-2509CRITICAL9.8⚠ KEVten sam vendor

A command injection vulnerability has been reported to affect QTS and QuTS hero. If exploited, this vulnerabil...

CVE-2018-19949CRITICAL9.8⚠ KEVten sam vendor

If exploited, this command injection vulnerability could allow remote attackers to run arbitrary commands. QNA...