QNAP NAS缓冲区溢出漏洞

QNAP NAS缓冲区溢出漏洞

QNAP NAS是中国威联通科技（QNAP）公司的一个可访问且快速的存储解决方案。

一、漏洞分析

 公开日期：2022-02-11

 漏洞编号：CNVD-2022-09772/CVE-2021-38687

 危害等级：高危

 漏洞描述：QNAP NAS Surveillance Station存在缓冲区溢出漏洞，该漏洞源于软件处理请求时的边界错误，未经身份验证的远程攻击者可利用该漏洞向系统发送专门的请求，触发基于堆栈的缓冲区溢出，并在目标系统上执行任意代码。

二、漏洞影响产品

QNAP Surveillance Station <5.2.0.4.2 (2021/10/26)（QTS 5.0.0 (64-bit)）

QNAP Surveillance Station <5.2.0.3.2 (2021/10/26) （QTS 5.0.0 (32-bit)）

QNAP Surveillance Station <5.1.5.4.6 (2021/10/26)（QTS 4.3.6 (64-bit)）

QNAP Surveillance Station <5.1.5.3.6 (2021/10/26) （QTS 4.3.6 (32-bit)）

QNAP Surveillance Station <5.1.5.3.6 (2021/10/26) （QTS 4.3.3）

三、漏洞处置建议

厂商已发布了漏洞修复程序，请及时关注更新：

https://www.qnap.com.cn/en/security-advisory/qsa-21-46