QSA-21-10
本内容はQNAPが発表したセキュリティアドバイザリ QSA-20-10の弊社による参考訳です。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
- リリース日 : 2021年4月16日
- セキュリティID : QSA-21-10
- 重要度 :高
- CVE識別子 : -
- 影響を受ける製品:TwonkyServerを実行しているQNAP NAS
概要
TwonkyServerの以前のバージョンに影響を与える2つの脆弱性が報告されています。
- 不適切なアクセス制限の脆弱性により、リモートの攻撃者は、TwonkyServer設定にアクセスするための管理者のユーザー名やパスワードなどの機密情報にアクセスできます。
- 脆弱なパスワード難読化の脆弱性により、リモートの攻撃者はパスワードを簡単に復号化できます。
両方の脆弱性を組み合わせると、リモートの攻撃者がサーバーにアクセス可能なすべてのコンテンツにアクセスできるようになります。
ベンダーは、脆弱性に対処するためにバージョン8.5.2をリリースしています。パッケージが利用可能になり次第、このアドバイザリを更新します。