一、 漏洞 CVE-2023-50358 基础信息
漏洞标题
QTS,QuTS的英雄,QuTS云
来源:AIGC 神龙大模型
漏洞描述信息
已报告存在一个操作系统命令注入漏洞,影响了几个QNAP操作系统的版本。如果被利用,该漏洞可能允许用户通过网络执行命令。 我们已经修复了以下版本中的漏洞: QTS 5.1.5.2645 建筑 20240116 及以后 QTS 4.5.4.2627 建筑 20231225 及以后 QTS 4.3.6.2665 建筑 20240131 及以后 QTS 4.3.4.2675 建筑 20240131 及以后 QTS 4.3.3.2644 建筑 20240131 及以后 QTS 4.2.6 建筑 20240131 及以后 QuTS hero h5.1.5.2647 建筑 20240118 及以后 QuTS hero h4.5.4.2626 建筑 20231225 及以后 QuTScloud c5.1.5.2651 及以后
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:AIGC 神龙大模型
漏洞标题
QTS, QuTS hero, QuTScloud
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An OS command injection vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow users to execute commands via a network. We have already fixed the vulnerability in the following versions: QTS 5.1.5.2645 build 20240116 and later QTS 4.5.4.2627 build 20231225 and later QTS 4.3.6.2665 build 20240131 and later QTS 4.3.4.2675 build 20240131 and later QTS 4.3.3.2644 build 20240131 and later QTS 4.2.6 build 20240131 and later QuTS hero h5.1.5.2647 build 20240118 and later QuTS hero h4.5.4.2626 build 20231225 and later QuTScloud c5.1.5.2651 and later
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
QNAP 多款产品操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
QNAP Systems QuTScloud等都是中国威联通科技(QNAP Systems)公司的产品。QNAP Systems QuTScloud是一种 QNAP NAS 操作系统的云端优化版本。QNAP Systems QTS是一个入门到中阶QNAP NAS 使用的操作系统。QNAP Systems QuTS hero是一个操作系统。 QNAP 多款产品存在操作系统命令注入漏洞。攻击者利用该漏洞通过网络执行命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-50358 的公开POC
# POC 描述 源链接 神龙链接
1 New exploit for admin access to QNAP OS (CVE-2023-50358) https://github.com/greandfather/CVE-2023-50358-POC POC详情
2 Exploit CVE-2023-45318-POC Weston Embedded uC-HTTP git commit 80d4004 ---> RCE https://github.com/greandfather/CVE-2023-50358-POC-RCE POC详情
三、漏洞 CVE-2023-50358 的情报信息