Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - БДУ ФСТЭК - BDU:2023-00927

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - ФСТЭК BDU:2023-00927
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

BDU:2023-00927

CVSS: 9.8
17.04.2021

Уязвимость операционных систем QTS и QuTS hero, связанная с непринятием мер по нейтрализации специальных элементов, используемых в командах операционной системы, позволяющая нарушителю выполнить произвольные команды

Уязвимость операционных систем QTS и QuTS hero связана с непринятием мер по нейтрализации специальных элементов, используемых в командах операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специального HTTP-запроса
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 17.04.2021
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Существует
Способ эксплуатации: Инъекция
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций производителя:
https://www.qnap.com/en/security-advisory/qsa-21-05

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-77 Некорректная нейтрализация специальных элементов, используемых в командах (внедрение команд)
CWE-78 Некорректная нейтрализация специальных элементов, используемых в системных командах (внедрение команд ОС)

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2020-2509 Command Injection Vulnerability in QTS and QuTS hero

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
10 CRITICAL 2.0 AV:N/AC:L/Au:N/C:C/I:C/A:C
9.8 HIGH 3.0 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2020-2509 QSA-21-05
Вендор:
  • QNAP Systems, Inc.
Тип ПО:
  • Операционная система
Наименование ПО:
  • QTS
  • QuTS hero
Версия ПО:
  • до 4.3.3.1624 Build 20210416 (QTS)
  • до 4.3.6.1620 Build 20210322 (QTS)
  • до 4.5.2.1566 Build 20210202 (QTS)
  • до 4.5.1.1495 Build 20201123 (QTS)
  • до 4.3.4.1632 Build 20210324 (QTS)
  • до 4.2.6 Build 20210327 (QTS)
  • до h4.5.1.1491 build 20201119 (QuTS hero)
ОС и аппаратные платформы:
  • QTS (до 4.3.3.1624 Build 20210416)
  • QTS (до 4.3.6.1620 Build 20210322)
  • QTS (до 4.5.2.1566 Build 20210202)
  • QTS (до 4.5.1.1495 Build 20201123)
  • QTS (до 4.3.4.1632 Build 20210324)
  • QTS (до 4.2.6 Build 20210327)
  • QuTS hero (до h4.5.1.1491 build 20201119)
Ссылки на источники:
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.