آسیبپذیری تزریق فرمان سیستمعامل در QNAP
شناسایی آسیبپذیری با شناسه CVE-2023-47565 و شدت بالا 8.0 امکان تزریق فرمان سیستمعامل (OS command injection) را برای مهاجم احراز هویت شده فراهم میآورد. بهرهبرداری از این آسیبپذیری منجر به اجرای دستورات از طریق شبکه میشود.
محصولات تحت تأثیر
این آسیبپذیری مدلهای قدیمی QNAP VioStor NVR با QVR Firmware 4.x را تحت تأثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء QNAP VioStor NVR به QVR Firmware 5.x و بالاتر اقدام نمایند و از رمزهای عبور قوی برای همه حسابهای کاربری استفاده کنند.
تغییر رمز عبورکاربر در QVR به صورت زیر است:
• وارد QVR شوید.
• به Control Panel > Privilege > Users بروید.
• کاربری را که می خواهید ویرایش کنید انتخاب کنید.
توجه: فقط مدیران میتوانند رمز عبور سایر کاربران را تغییر دهند.
• روی نماد (icon) تغییر رمز عبور کلیک کنید.
• یک رمز عبور جدید و قوی مشخص کنید.
• رمز عبور را تأیید کنید.
• روی Apply کلیک کنید.
بهروزرسانی سیستمعامل QVR
• به عنوان مدیر به QVR وارد شوید.
• به Control Panel > System Settings > Firmware Update بروید.
• تب Firmware Update را انتخاب کنید.
• برای بارگذاری آخرین فایل Firmware، روی Browse… کلیک کنید.
نکته: آخرین فایل Firmware را برای مدل خاص خود از https://www.qnap.com/go/download بارگیری کنید. “Legacy NVR” را انتخاب کنید تا مدل خود را پیدا کنید.
• روی Update System کلیک کنید.
• QVR را بهروزرسانی کنید.