威联通公告QTS和QuTS hero h存在严重漏洞

IT之家 2 月 1 日消息，NAS 厂商威联通（QNAP）近日发布安全公告，表示 QTS 5.0.1 和 QuTS hero h5.0.1 两款软件存在严重漏洞 CVE-2022-27596，允许攻击者在固件中植入恶意代码。

该漏洞在 CVSS v3 评分为 9.8（最高分为 10 分），因此IT之家推荐使用上述两款软件的网友尽快升级。

QNAP 尚未透露有关该漏洞的任何进一步细节。根据 Bleeping Computer 报道，漏洞 CVE-2022-27596 被归类为“SQL 命令中不当使用特殊元素”（SQL 注入）。

运行以下软件版本的设备会受到影响：

QTS 5.x

QuTS hero h5.x

威联通已经修复了上述漏洞，推荐用户升级到：

QTS 5.0.1.2234 build 20221201 及更高版本

QuTS hero h5.0.1.2248 build 20221215 及更高版本

Bleeping Computer 在报告中指出，至少超过 29000 台设备受到影响。Censys 安全研究人员的一份报告进一步指出，在网上发现的 60000 多台 QNAP NAS 设备中，只有大约 550 台打了补丁。