QNAP : plusieurs failles corrigées dans Photo Station, Image2PDF et QVR IP

Le fabricant de NAS QNAP a publié des mises à jour pour patcher plusieurs failles de sécurité qui touchent les NAS de la marque, et plus particulièrement certaines applications. Ces vulnérabilités permettent à l'attaquant d'exécuter du code et des commandes à distance sur le NAS.

Par l'intermédiaire de ce correctif de sécurité, QNAP a corrigé les trois failles de sécurité suivantes : CVE-2021-34354, CVE-2021-34356, et CVE-2021-34355. Il s'agit de vulnérabilités de type XSS et elles affectent les NAS qui exécutent une version non patchée de Photo Station. Plus précisément, c'est-à-dire une version de Photo Station antérieure aux versions suivantes : 5.4.10, 5.7.13, ou 6.0.18.

Par ailleurs, QNAP a corrigé deux autres vulnérabilités, la première dans l'application Image2PDF et la seconde dans la solution de vidéosurveillance QVR IP. Au sein d'Image2PDF, il s'agit d'une faille XSS également et pour vous protéger vous devez utiliser au minimum la version 2.1.5 d'Image2PDF. Quant à la faille dans QVR IP, associée à la référence CVE-2021-34352, elle permet à l'attaquant d'exécuter des commandes sur le NAS et de prendre le contrôle total du NAS !

Pour mettre à jour les applications Photo Station et Image2PDF, vous devez vous rendre dans l'App Center de l'interface QTS (ou QuTS Hero) dans le but de rechercher les mises à jour. Concernant la solution QVR IP, il faut s'authentifier sur l'interface de la solution afin d'effectuer une mise à jour firmware.

Il est recommandé de patcher vos NAS dès que possible, d'autant plus que certains ransomwares s'intéressent de près aux NAS QNAP depuis quelques mois.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5500.Voir tous les posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.