一、 漏洞 CVE-2024-48866 基础信息
漏洞标题
QTS、QuTS hero
来源:AIGC 神龙大模型
漏洞描述信息
已报告存在多个 QNAP 操作系统版本中的 URL 编码(十六进制编码)处理不当的漏洞。如果被利用,该漏洞可能会允许远程攻击者将系统运行到意外状态。
我们已经在以下版本中修复了该漏洞:
QTS 5.1.9.2954 构建 20241120 及更高版本
QTS 5.2.2.2950 构建 20241114 及更高版本
QuTS hero h5.1.9.2954 构建 20241120 及更高版本
QuTS hero h5.2.2.2952 构建 20241116 及更高版本
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
HTTP请求的解释不一致性(HTTP请求私运)
来源:AIGC 神龙大模型
漏洞标题
QTS, QuTS hero
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An improper handling of URL encoding (Hex Encoding) vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow remote attackers to run the system into unexpected state.
We have already fixed the vulnerability in the following versions:
QTS 5.1.9.2954 build 20241120 and later
QTS 5.2.2.2950 build 20241114 and later
QuTS hero h5.1.9.2954 build 20241120 and later
QuTS hero h5.2.2.2952 build 20241116 and later
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
URL编码处理不恰当(Hex编码)
来源:美国国家漏洞数据库 NVD
漏洞标题
QNAP Systems QTS和QNAP Systems QuTS hero 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
QNAP Systems QTS和QNAP Systems QuTS hero都是中国威联通科技(QNAP Systems)公司的产品。QNAP Systems QTS是一个入门操作系统。QNAP Systems QuTS hero是一个操作系统。 QNAP Systems QTS和QNAP Systems QuTS hero存在安全漏洞,该漏洞源于包含一个不正确的URL编码处理漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-48866 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-48866 的情报信息
-
标题: Multiple Vulnerabilities in QTS and QuTS hero (PWN2OWN 2024) - Security Advisory | QNAP -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-48866