Vulnerabilidad de Seguridad UNAM-CERT-2022-002 XSS reflejado en servidor TFTP

Una vulnerabilidad de Cross Site Scripting (XSS) reflejado afecta el servidor TFTP en QTS, QuTS hero y QuTScloud

Fecha de liberación: 
07/01/2022
Última revisión: 
10/01/2022
Fuente: 
https://www.qnap.com/en/security-advisory/qsa-21-63
Riesgo: 
Medio
Problema de vulnerabilidad: 
XSS
Tipo de vulnerabilidad: 
Inyección
CVE ID: 

CVE-2021-38674

CNA: QNAP Systems, Inc.
Base Score: 4.2 MEDIUM
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N
 
Sistemas afectados: 

Versiones de QTS, QuTS hero y QuTScloud:

  • QTS 4.5.4.1787 build 20210910 y superior
  • QuTS hero h4.5.4.1771 build 20210825 y superior
  • QuTScloud c4.5.7.1864 y superior
Descripción: 

Una vulnerabilidad de Cross Site Scripting (XSS) reflejado afecta el servidor TFTP en QTS, QuTS hero y QuTScloud

Impacto: 

Si la vulnerabilidad se explota, esta vulnerabilidad permite a los atacantes remotos inyectar código malicioso

Solución: 
  • Actualizar el sistema a la última versión
  • Revisar el estado del soporte del producto para ver las últimas actualizaciones disponibles para su modelo NAS
Referencias: 

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración o traducción y revisión de este Documento a:

  • Sergio Anduin Tovar Balderas (anduin dot tovar at cert dot unam dot mx)

 

UNAM-CERT

Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at cert.unam.mx
phishing at cert.unam.mx
https://www.cert.org.mx
https://www.cert.unam.mx
Tel: 56 22 81 69