QNAP Systemsは3月9日(現地時間)、QNAPの複数の製品に複数の脆弱性が存在するとして、注意を喚起した。これら脆弱性はすべて修正済みとされている。該当するプロダクトを使用しているかを確認するとともに、製品を使用している場合は説明されている内容に従って対処することが望まれる。修正対象の脆弱性に関する情報は次のページにまとまっている。

Multiple Vulnerabilities in QTS, QuTS hero, QuTScloud, and myQNAPcloud - Security Advisory | QNAP

Multiple Vulnerabilities in jackson-databind - Security Advisory | QNAP

Vulnerability in Network & Virtual Switch - Security Advisory | QNAP

Multiple Vulnerabilities in QTS, QuTS hero, QuTScloud, and myQNAPcloud - Security Advisory|QNAP

○脆弱性の影響を受ける製品

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

QTS 5.1.x

QTS 4.5.x

QuTS hero h5.1.x

QuTS hero h4.5.x

QuTScloud c5.x

myQNAPcloud 1.0.x

QuMagie Mobile 2.2.x for Android

○脆弱性が修正された製品

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

QTS 5.1.4.2596 build 20231128およびこれ以降のバージョン

QTS 4.5.4.2627 build 20231225およびこれ以降のバージョン

QuTS hero h5.1.4.2596 build 20231128およびこれ以降のバージョン

QuTS hero h4.5.4.2626 build 20231225およびこれ以降のバージョン

QuTScloud c5.1.5.2651およびこれ以降のバージョン

myQNAPcloud 1.0.52 (2023/11/24)およびこれ以降のバージョン

QuMagie Mobile for Android 2.2.0.0126およびこれ以降のバージョン

○脆弱性の詳細

修正された脆弱性に関する情報(CVE)は次のとおり。

CVE-2024-21899 - 不適切な認証の脆弱性。この脆弱性を悪用されるとネットワーク経由でシステムのセキュリティを侵害される可能性がある

CVE-2024-21900 - インジェクションの脆弱性。この脆弱性を悪用されると認証された攻撃者によりネットワーク経由でコマンドを実行される可能性がある

CVE-2024-21901 - SQLインジェクションの脆弱性。この脆弱性を悪用されると認証された攻撃者によりネットワーク経由で悪意のあるコマンドを注入される可能性がある

CVE-2022-42003、CVE-2022-42004 - FasterXML/jackson-databindにおけるリソース枯渇の脆弱性

CVE-2020-36518 - FasterXML/jackson-databindにおけるスタックオーバーフローまたはサービス拒否の脆弱性

CVE-2021-46877 - FasterXML/jackson-databindにおけるサービス拒否の脆弱性

CVE-2023-32969 - クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性

○推奨される対策

修正された脆弱性の中で最も高い深刻度は緊急(Critical)と評価されており注意が必要。QNAPはこれら脆弱性を修正するために、公開している更新手順に従ってファームウェアおよび当該アプリケーションをアップデートすることを推奨している。