Bleeping Computer 網站消息，QNAP Systems 發布兩個關鍵命令注入漏洞的安全警告。據悉，這兩個漏洞會影響 QTS 操作系統的多個版本及其網絡連接存儲（NAS）設備上的應用程序。

第一個漏洞被追蹤為 CVE-2023-23368，嚴重性評級為 9.8（滿分 10 分），是一個命令注入漏洞，遠程網絡攻擊者可利用該漏洞通過網絡執行命令，受該安全漏洞影響的 QTS 版本包括 QTS 5.0.x 和 4.5.x、QuTS hero h5.0.x 和 h4.5.x，以及 QuTScloud c5.0.1：

• QTS 5.0.1.2376 版本 20230421 及更高版本
• QTS 4.5.4.2374 版本 20230416 及更高版本
• QTS hero h5.0.1.2376 build 20230421 及更高版本
• QuTS hero h4.5.4.2374 版本 20230417 及更高版本
• QuTScloud c5.0.1.2374 及更高版本

第二個漏洞被追蹤為 CVE-2023-23369，嚴重性評級為 9.0（滿分 10 分），遠程網絡攻擊者可通過該漏洞達到與利用 CVE-2023-23368 漏洞相同的效果。受漏洞影響的 QTS 版本包括 5.1.x、4.3.6、4.3.4、4.3.3和4.2.x，多媒體控制臺 2.1.x 和 1.4.x，以及媒體流插件 500.1.x 和 500.0.x：

• QTS 5.1.0.2399 版本 20230515 及更高版本
• QTS 4.3.6.2441 版本 20230621 及更高版本
• QTS 4.3.4.2451 版本 20230621 及更高版本
• QTS 4.3.3.2420 版本 20230621 及更高版本
• QTS 4.2.6 版本 20230621 及更高版本
• 多媒體控制臺 2.1.2 (2023/05/04) 及更高版本
• 多媒體控制臺 1.4.8 (2023/05/05) 及更高版本
• 媒體流附加組件 500.1.1.2 (2023/06/12) 及更高版本
• 媒體流附加組件 500.0.0.11 (2023/06/16) 及更高版本

建議：需要更新 QTS、QuTS hero 或 QuTScloud 的話，管理員可登錄并導航至控制面板 > 系統 > 固件更新，然后點擊實時更新下的 "檢查更新"，下載并安裝最新版本，也可從 QNAP   網站手動下載更新。此外，管理員通過在應用程序中心查找安裝并單擊“更新”按鈕，可以更新多媒體控制臺。（更新媒體流插件的過程與上述步驟類似，管理員可以通過搜索應用程序中心來定位該插件）

鑒于NAS 設備經常被用來存儲數據，因此命令執行漏洞可能會帶來嚴重影響。網絡犯罪分子在“尋找”到新受害目標后，會利用漏洞竊取或加密敏感數據，之后便可以向受害者索要贖金。

值得一提的是，QNAP 設備曾多次成為大規模勒索軟件攻擊的目標。一年前，Deadbolt 勒索軟件團伙利用零日漏洞成功加密暴露在公共互聯網上的 NAS 設備。因此，強烈建議 QNAP 用戶盡快使用安全可靠的安全更新。

文章來源：https://www.bleepingcomputer.com/news/security/qnap-warns-of-critical-command-injection-flaws-in-qts-os-apps/#google_vignette