NAS-fabrikant QNAP waarschuwt gebruikers voor een kritieke kwetsbaarheid in de multimedia console en media streaming add-on waardoor aanvallers op afstand “applicatie-informatie” kunnen verkrijgen. Via de multimedia console is het mogelijk om alle “multimedia backend services” op een QNAP-NAS te bedienen en monitoren. De media streaming add-on maakt het mogelijk om media van het NAS-systeem naar een ander apparaat te streamen.

Volgens QNAP zijn beide applicaties kwetsbaar voor SQL-injection, maar verdere informatie wordt niet gegeven. Het komt echter zelden voor dat QNAP een kwetsbaarheid in de eigen software als “kritiek” bestempelt. Het beveiligingslek, aangeduid als CVE-2020-36195, is in verschillende versies van zowel de software als NAS-besturingssysteem QTS verholpen. QNAP adviseert om naar de laatste versie van de software te updaten. Voor NAS-systemen die QTS 4.3.3 en QTS 4.3.6 draaien wordt het updaten van QTS dringend aangeraden.

Source