製品・ソフトウェアに関する情報

JVN脆弱性詳細

QNAP 製ネットワークビデオレコーダー製品における複数の脆弱性

Title	QNAP 製ネットワークビデオレコーダー製品における複数の脆弱性
Summary	QNAP Systems が提供するネットワークビデオレコーダー（NVR）である VioStar シリーズには、次の複数の脆弱性が存在します。　* コマンドインジェクション (CWE-77) - CVE-2021-38685 　* 不適切な認証 (CWE-287) - CVE-2021-38686
Possible impacts	想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。　* 遠隔の攻撃者により任意のコマンドを実行される - CVE-2021-38685 　* 遠隔の攻撃者により製品に不正にログインされる - CVE-2021-38686
Solution	[アップデートする] 開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。開発者は、本脆弱性を修正した以下のバージョンを提供しています。　* QVR 5.1.6 build 20211109
Publication Date	Dec. 22, 2021, midnight
Registration Date	Dec. 23, 2021, 5:55 p.m.
Last Update	Dec. 23, 2021, 5:55 p.m.

Affected System

QNAP Systems

VioStor NVR ファームウェア

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-38685	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38685
2	CVE-2021-38686	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38686
National Vulnerability Database (NVD)
3	CVE-2021-38685	https://nvd.nist.gov/vuln/detail/CVE-2021-38685
4	CVE-2021-38686	https://nvd.nist.gov/vuln/detail/CVE-2021-38686

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html
2	CWE-77	https://cwe.mitre.org/data/definitions/77.html

ベンダー情報

No	Name	URL
Security Advisory
1	QSA-21-51	https://www.qnap.com/en/security-advisory/qsa-21-51
2	QSA-21-52	https://www.qnap.com/en/security-advisory/qsa-21-52

その他

No	Name	URL
JVN
1	JVNVU#95429813	https://jvn.jp/vu/JVNVU95429813/index.html

Change Log

No	Changed Details	Date of change
1	[2021年12月23日] 掲載	Dec. 23, 2021, 5:55 p.m.

NVD Vulnerability Information

CVE-2021-38685

Summary	A command injection vulnerability has been reported to affect QNAP device, VioStor. If exploited, this vulnerability allows remote attackers to run arbitrary commands. We have already fixed this vulnerability in the following versions of QVR: QVR FW 5.1.6 build 20211109 and later
Publication Date	Nov. 26, 2021, 11:15 p.m.
Registration Date	Nov. 27, 2021, 10 a.m.
Last Update	Nov. 21, 2024, 3:17 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:qnap:qvr::::::::					5.1.6

Related information, measures and tools

No	URL	refsource	タグ
1	https://www.qnap.com/en/security-advisory/qsa-21-51		Vendor Advisory
2	https://www.qnap.com/en/security-advisory/qsa-21-51		Vendor Advisory

Common Vulnerabilities List

CVE-2021-38686

Summary	An improper authentication vulnerability has been reported to affect QNAP device, VioStor. If exploited, this vulnerability allows attackers to compromise the security of the system. We have already fixed this vulnerability in the following versions of QVR: QVR FW 5.1.6 build 20211109 and later
Publication Date	Nov. 26, 2021, 11:15 p.m.
Registration Date	Nov. 27, 2021, 10 a.m.
Last Update	Nov. 21, 2024, 3:17 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:qnap:qvr::::::::					5.1.6

Related information, measures and tools

No	URL	refsource	タグ
1	https://www.qnap.com/en/security-advisory/qsa-21-52		Vendor Advisory
2	https://www.qnap.com/en/security-advisory/qsa-21-52		Vendor Advisory

Common Vulnerabilities List