Una falla crítica en PHP expone los dispositivos NAS de QNAP a los ataques RCE
AS-060-2022
Fecha: 23/Jun/2022
Resumen:
QNAP ha advertido hoy a los clientes que algunos de sus dispositivos de almacenamiento conectado en red (NAS) (con configuraciones no predeterminadas) son vulnerables a ataques que explotarían una vulnerabilidad crítica de PHP de tres años de antigüedad, la cual permite la ejecución remota de código.
Versiones afectadas
Si tiene QNAP NAS ejecutando nginx y php-fpm, la vulnerabilidad afecta a las siguientes versiones de sistema operativo:
- QTS 5.0.x
- QTS 4.5.x
- QuTS hero h5.0.x
- QuTS hero h4.5.x
- QuTScloud c5.0.x
Recomendación:
Actualizar: QTS, QuTS hero, o QuTScloud
- Login sobre QTS, QuTS hero, o QuTScloud como administrador.
- Vaya a Control Panel > System > Firmware Update.
- Bajo Live Update, click Check for Update.
- Instale la última version disponible.
Referencia: