QANP多款产品跨站脚本漏洞
CVE编号
CVE-2020-2496利用情况
暂无补丁情况
N/A披露时间
2020-12-10漏洞描述
QNAP Systems QNAP File Station是中国威联通(QNAP Systems)公司的一款QTS 的档案管理工具。该应用可通过网页提供访问NAS文件的方式。 QANP 多款产品存在跨站脚本漏洞,攻击者可利用该漏洞在证书配置中注入恶意代码。以下产品及版本受到影响:QuTS hero h4.5.1.1472 build 20201031 and later QTS 4.5.1.1456 build 20201015 and later QTS 4.4.3.1354 build 20200702 and later QTS 4.3.6.1333 build 20200608 and later QTS 4.3.4.1368 build 20200703 and later QTS 4.3.3.1315 build 20200611 and later QTS 4.2.6 build 20200611 and later。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://www.qnap.com/en/security-advisory/qsa-20-12 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | qnap | qts | * | Up to (excluding) 4.2.6 | |||||
| 运行在以下环境 | |||||||||
| 应用 | qnap | qts | * | Up to (excluding) 4.3.3.1315 | |||||
| 运行在以下环境 | |||||||||
| 应用 | qnap | qts | * | Up to (excluding) 4.3.4.1368 | |||||
| 运行在以下环境 | |||||||||
| 应用 | qnap | qts | * | Up to (excluding) 4.3.6.1333 | |||||
| 运行在以下环境 | |||||||||
| 应用 | qnap | qts | * | Up to (excluding) 4.4.3.1354 | |||||
| 运行在以下环境 | |||||||||
| 应用 | qnap | qts | * | Up to (excluding) 4.5.1.1456 | |||||
| 运行在以下环境 | |||||||||
| 应用 | qnap | quts_hero | * | Up to (excluding) 4.5.1.1472 | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论