Vulnerabilidades de inyección de comandos en QVR de QNAP

Fecha de publicación: 29/09/2021

Importancia:
Crítica

Recursos afectados:

Dispositivos QNAP EOL — productos descatalogados— que ejecutan QVR, el software de centro de control de sistemas de vigilancia, en versiones anteriores a QVR 5.1.5 compilación 20210803.

Descripción:

QNAP ha detectado tres vulnerabilidades, dos de ellas de severidad crítica, que afectan a ciertos dispositivos QNAP descatalogados, que ejecutan el software QVR de centro de control de vigilancia y que de ser explotadas podrían permitir a un atacante remoto ejecutar comandos arbitrarios.

Solución:

QNAP recomienda consultar el estado de soporte del producto para ver las últimas actualizaciones disponibles para su modelo de dispositivo y actualizar los dispositivos lo antes posible. Para actualizar sus dispositivos:

  • Inicie sesión en QVR como administrador.
  • Vaya a “Panel de control > Configuración del sistema > Actualización del firmware”.
  • En “Live Update“, haga clic en “Check for Update“.
  • Se descarga e instala la última actualización QVR disponible.

También se puede descargar la actualización desde aquí. Vaya a “Soporte > Descargar”, y a continuación realice la actualización manual para el dispositivo específico.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

Detalle:

Aviso de seguridad 06/07/2020 - Vulnerabilidad en productos NAS de Qnap

QNAP ha publicado una nueva versión del firmware afectado, QVR 5.1.5 compilación 20210803, que corrige estas vulnerabilidades que, de ser explotadas, podrían conducir a la ejecución remota de código arbitrario en los dispositivos desactualizados.

Línea de ayuda en ciberseguridad 017

Etiquetas:
Actualización, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.