CVE-2021-34360

MITJÀ: (5.3)

CVSS6: 4.6

QNAP NAS és vulnerable a la falsificació de sol·licituds entre llocs, causada per una validació inadequada de l’entrada subministrada per l’usuari per part del servidor intermediari. En persuadir un usuari autenticat de visitar un lloc web maliciós, un atacant remot podria enviar una sol·licitud HTTP mal formada per dur a terme accions no autoritzades. Un atacant podria explotar aquesta vulnerabilitat per realitzar atacs de scripting entre llocs, enverinament per memòria cau web i altres activitats malicioses.

Sistemes Afectats

• QNAP QTS 4.5.x Proxy Server 1.4.2
• QNAP QTS 5.0.x Proxy Server 1.4.2
• QNAP QuTS hero h5.0.x Proxy Server 1.4.3
• QNAP QuTScloud c4.5.x Proxy Server 1.4.2
• QNAP QuTScloud c5.0.x Proxy Server 1.4.2

Remediació
Consulteu QSA-22-18 per obtenir informació de l’actualització o solució recomanada. Vegeu Referències.

Referències

• https://www.qnap.com/en/security-advisory/qsa-22-18
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34360