| タイトル | QNAP 製ネットワークビデオレコーダー製品における複数の脆弱性 |
|---|---|
| 概要 | QNAP Systems が提供するネットワークビデオレコーダー (NVR) である VioStar シリーズには、次の複数の脆弱性が存在します。 * コマンドインジェクション (CWE-77) - CVE-2021-38685 * 不適切な認証 (CWE-287) - CVE-2021-38686 |
| 想定される影響 | 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 * 遠隔の攻撃者により任意のコマンドを実行される - CVE-2021-38685 * 遠隔の攻撃者により製品に不正にログインされる - CVE-2021-38686 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。 開発者は、本脆弱性を修正した以下のバージョンを提供しています。 * QVR 5.1.6 build 20211109 |
| 公表日 | 2021年12月22日0:00 |
| 登録日 | 2021年12月23日17:55 |
| 最終更新日 | 2021年12月23日17:55 |
| CVSS3.0 : 緊急 | |
| スコア | 9.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| QNAP Systems |
| VioStor NVR ファームウェア |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2021年12月23日] 掲載 |
2021年12月23日17:55 |
| 概要 | A command injection vulnerability has been reported to affect QNAP device, VioStor. If exploited, this vulnerability allows remote attackers to run arbitrary commands. We have already fixed this vulnerability in the following versions of QVR: QVR FW 5.1.6 build 20211109 and later |
|---|---|
| 公表日 | 2021年11月26日23:15 |
| 登録日 | 2021年11月27日10:00 |
| 最終更新日 | 2024年11月21日15:17 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:qnap:qvr:*:*:*:*:*:*:*:* | 5.1.6 | ||||
| 概要 | An improper authentication vulnerability has been reported to affect QNAP device, VioStor. If exploited, this vulnerability allows attackers to compromise the security of the system. We have already fixed this vulnerability in the following versions of QVR: QVR FW 5.1.6 build 20211109 and later |
|---|---|
| 公表日 | 2021年11月26日23:15 |
| 登録日 | 2021年11月27日10:00 |
| 最終更新日 | 2024年11月21日15:17 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:qnap:qvr:*:*:*:*:*:*:*:* | 5.1.6 | ||||