Tayvan merkezli depolama (NAS) üreticisi QNAP, saldırganların zafiyet içeren NAS cihazlarına uzaktan kötü amaçlı kod ve komutlar enjekte etmesine ve yürütmesine izin verebilecek birden fazla güvenlik açığı için güvenlik yamaları yayınladı.
QNAP tarafından düzeltilen güvenlik açıklarından üçü yüksek önemde XSS güvenlik açığı (CVE-2021-34354, CVE-2021-34356 ve CVE-2021-34355 olarak izlenir) yama uygulanmamış Photo Station yazılımı çalıştıran cihazları etkiler (5.4.10, 5.7.13 veya 6.0.18’den önceki sürümler). QNAP saldırganların rastgele komutlar çalıştırmasına izin veren QVR IP ( kend of life (EOL) olan ) cihazlarını etkileyen komut enjeksiyon zafiyetini (CVE-2021-34352) kapattı. CVE-2021-34352 açığından yararlanan başarılı saldırılar zafiyeti bulunan NAS cihazlarının tamamen ele geçirilmesine yol açabiliyor.
QNAP güncellemelerin zaman kaybetmeden yüklenmesini tavsiye ediyor.
Kaynak: bleepingcomputer.com
