威联通敦促用户尽快更新，其 NAS 产品存在漏洞：可绕过身份验证

IT 之家 3 月 9 日消息，威联通（QNAP）近日发布公告，表示旗下包括 QTS、QuTS hero、QuTScloud 和 myQNAPcloud 在内的多款 NAS 软件产品存在漏洞，攻击者可利用这些漏洞访问设备。

IT 之家附上 3 个漏洞如下：

CVE-2024-21899：不正确的验证机制允许未经授权的用户通过网络（远程）破坏系统的安全性。

CVE-2024-21900：此漏洞可让通过身份验证的用户通过网络在系统上执行任意命令，可能导致未经授权的系统访问或控制。

CVE-2024-21901：此漏洞可让通过身份验证的管理员通过网络注入恶意 SQL 代码，从而破坏数据库的完整性并篡改其内容。

这些漏洞影响到 QNAP 的多个操作系统版本，包括 QTS 5.1.x、QTS 4.5.x、QuTS hero h5.1.x、QuTS hero h4.5.x、QuTScloud c5.x 和 myQNAPcloud 1.0.x 服务。

威联通敦促用户尽快升级到以下版本：

QTS 5.1.3.2578 Build 20231110 及更高版本

QTS 4.5.4.2627 build 20231225 及更高版本

QuTS hero h5.1.3.2578 build 20231110 及更高版本

QuTS hero h4.5.4.2626 build 20231225 及更高版本

QuTScloud c5.1.5.2651 及更高版本

myQNAPcloud 1.0.52 ( 2023/11/24 ) 及更高版本