2 月 1 日消息，NAS 廠商威聯(lián)通(QNAP)近日發(fā)布安全公告，表示 QTS 5.0.1 和 QuTS hero h5.0.1 兩款軟件存在嚴(yán)重漏洞 CVE-2022-27596，允許攻擊者在固件中植入惡意代碼。

該漏洞在 CVSS v3 評(píng)分為 9.8(最高分為 10 分)，因此IT之家推薦使用上述兩款軟件的網(wǎng)友盡快升級(jí)。

QNAP 尚未透露有關(guān)該漏洞的任何進(jìn)一步細(xì)節(jié)。根據(jù) Bleeping Computer 報(bào)道，漏洞 CVE-2022-27596 被歸類為“SQL 命令中不當(dāng)使用特殊元素”(SQL 注入)。

運(yùn)行以下軟件版本的設(shè)備會(huì)受到影響：

QTS 5.x

QuTS hero h5.x

威聯(lián)通已經(jīng)修復(fù)了上述漏洞，推薦用戶升級(jí)到：

QTS 5.0.1.2234 build 20221201 及更高版本

QuTS hero h5.0.1.2248 build 20221215 及更高版本

Bleeping Computer 在報(bào)告中指出，至少超過 29000 臺(tái)設(shè)備受到影響。Censys 安全研究人員的一份報(bào)告進(jìn)一步指出，在網(wǎng)上發(fā)現(xiàn)的 60000 多臺(tái) QNAP NAS 設(shè)備中，只有大約 550 臺(tái)打了補(bǔ)丁。

關(guān)鍵詞：