2 月 1 日消息，NAS 廠商威聯(lián)通(QNAP)近日發(fā)布安全公告，表示 QTS 5.0.1 和 QuTS hero h5.0.1 兩款軟件存在嚴(yán)重漏洞 CVE-2022-27596，允許攻擊者在固件中植入惡意代碼。

該漏洞在 CVSS v3 評分為 9.8(最高分為 10 分)，因此IT之家推薦使用上述兩款軟件的網(wǎng)友盡快升級。

QNAP 尚未透露有關(guān)該漏洞的任何進一步細節(jié)。根據(jù) Bleeping Computer 報道，漏洞 CVE-2022-27596 被歸類為“SQL 命令中不當(dāng)使用特殊元素”(SQL 注入)。

運行以下軟件版本的設(shè)備會受到影響：

QTS 5.x

QuTS hero h5.x

威聯(lián)通已經(jīng)修復(fù)了上述漏洞，推薦用戶升級到：

QTS 5.0.1.2234 build 20221201 及更高版本

QuTS hero h5.0.1.2248 build 20221215 及更高版本

Bleeping Computer 在報告中指出，至少超過 29000 臺設(shè)備受到影響。Censys 安全研究人員的一份報告進一步指出，在網(wǎng)上發(fā)現(xiàn)的 60000 多臺 QNAP NAS 設(shè)備中，只有大約 550 臺打了補丁。

關(guān)鍵詞：