Een kwetsbaarheid in de Malware Remover van NAS-fabrikant QNAP maakt het mogelijk voor aanvallers om op afstand willekeurige commando’s op het apparaat uit te voeren. QNAP heeft een beveiligingsupdate uitgebracht om het beveiligingslek te verhelpen.

De Malware Remover is een tool van QNAP om malware mee van NAS-systemen te verwijderen. Het beschikt over een heuse antivirusdatabase om de verschillende malware voor QNAP NAS-systemen te detecteren en verwijderen. De beveiligingstool is kwetsbaar voor command injection waardoor een aanvaller op afstand commando’s op het apparaat kan uitvoeren.

De kwetsbaarheid, aangeduid als CVE-2020-36198, is aanwezig in Malware Remover 4.x en verholpen in Malware Remover 4.6.1.0 en nieuwer. Versie 3.x van de tool is niet kwetsbaar. Verdere details over het beveiligingslek, zoals hoe een aanvaller hier misbruik van zou kunnen maken, zijn niet gegeven.

Source