Миллионы устройств QNAP подвержены критической PHP-уязвимости трехлетней давности

Чт 23 Июнь 2022 10:35

QNAP , тайваньская компания-производитель NAS , заявила, что активно работает над исправлением критической PHP-уязвимости трехлетней давности, которая может быть использована для удаленного выполнения кода. Уязвимость затрагивает версии PHP 7.1.x ниже 7.1.33, 7.2.x ниже 7.2.24 и 7.3.x ниже 7.3.11 с неправильной конфигурацией nginx. Отслеживаемая как CVE-2019-11043 (оценка 9,8 из 10 по шкале CVSS), ошибка может быть использована только тогда, когда на устройстве с ОС QNAP запущены nginx и php-fpm.

По словам представителей компании, QNAP NAS не подвержены уязвимости в стандартной конфигурации, так как в них не предустановлен nginx. Кроме того, уязвимость была исправлена для ОС QTS 5.0.1.2034 build 20220515 и QuTS hero h5.0.0.2069 build 20220614. Стоит отметить, что уязвимости все еще подвержены следующие версии ОС от QNAP:

QTS 5.0.x и выше;

QTS 4.5.x и выше;

QuTS hero h5.0.x и выше;

QuTS hero h4.5.x и выше;

QuTScloud c5.0.x и выше.

Компания опубликовала предупреждение через неделю после того, как уведомила пользователей о новой волне атак вымогательского ПО DeadBolt и столкнулась с очередной атакой вредоноса ech0raix .

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 94 дня 10 часов 56 минут 4 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.