一、 漏洞 CVE-2024-50393 基础信息
漏洞标题
QTS、QuTS hero
来源:AIGC 神龙大模型
漏洞描述信息
据报道,多个版本的QNAP操作系统存在命令注入漏洞。如果该漏洞被利用,远程攻击者可能执行任意命令。
我们已在以下版本中修复了该漏洞:
QTS 5.1.9.2954 构建 20241120 及以后版本
QTS 5.2.2.2950 构建 20241114 及以后版本
QuTS hero h5.1.9.2954 构建 20241120 及以后版本
QuTS hero h5.2.2.2952 构建 20241116 及以后版本
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
在命令中使用的特殊元素转义处理不恰当(命令注入)
来源:AIGC 神龙大模型
漏洞标题
QTS, QuTS hero
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A command injection vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow remote attackers to execute arbitrary commands.
We have already fixed the vulnerability in the following versions:
QTS 5.1.9.2954 build 20241120 and later
QTS 5.2.2.2950 build 20241114 and later
QuTS hero h5.1.9.2954 build 20241120 and later
QuTS hero h5.2.2.2952 build 20241116 and later
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
QNAP Systems QTS和QuTS hero 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
QNAP Systems QTS和QNAP Systems QuTS hero都是中国威联通科技(QNAP Systems)公司的产品。QNAP Systems QTS是一个入门操作系统。QNAP Systems QuTS hero是一个操作系统。 QNAP Systems QTS和QuTS hero存在安全漏洞,该漏洞源于包含一个命令注入漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-50393 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-50393 的情报信息
-
标题: Multiple Vulnerabilities in QTS and QuTS hero (PWN2OWN 2024) - Security Advisory | QNAP -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-50393