Inicio / Alerta Temprana / Vulnerabilidades / CVE-2020-2509

Vulnerabilidad en QTS y a QuTS hero (CVE-2020-2509)

Tipo: 
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Gravedad: 
Alta
Fecha publicación : 
17/04/2021
Última modificación: 
23/04/2021
Descripción
Se ha reportado una vulnerabilidad de inyección de comando que afecta a QTS y a QuTS hero. Si se explota, esta vulnerabilidad permite a atacantes ejecutar comandos arbitrarios en una aplicación comprometida. Ya hemos corregido esta vulnerabilidad en las siguientes versiones: QTS versiones 4.5.2.1566 Build 20210202 y posteriores. QTS versiones 4.5.1.1495 Build 20201123 y posteriores. QTS versiones 4.3.6.1620 Build 20210322 y posteriores QTS versiones 4.3.4.1632 Build 20210324 y posteriores QTS versiones 4.3.3.1624 Build 20210416 y posteriores. QTS versiones 4.2.6 Build 20210327 y posteriores. QuTS hero versiones h4.5.1.1491 build 20201119 y posteriores
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:o:qnap:qts:4.5.2:-:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.5.1:-:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.5.1.1480:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.5.1.1465:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.5.1.1461:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.5.1.1456:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6:-:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1446:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1411:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1333:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1286:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1263:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1218:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1154:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1070:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1033:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1013:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.0993:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.0979:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.0959:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.0944:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.0923:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.0907:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.0895:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.1463:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.1417:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.1368:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.1282:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.1190:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.1082:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.1029:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0899:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0604:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0597:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0593:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0569:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0561:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0557:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0551:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0526:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0516:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0506:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0486:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0483:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0451:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0435:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0434:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0427:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0416:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0411:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0387:beta2:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0387:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0374:beta1:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0374:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0372:beta1:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0372:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0370:beta1:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0370:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0358:beta1:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.4.0358:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.2.6:build_20200821:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.2.6:build_20200611:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.2.6:build_20200421:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.2.6:build_20200109:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.2.6:build_20191107:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.2.6:build_20190921:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.2.6:build_20190730:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.2.6:build_20190322:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.2.6:build_20170517:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.2.6:-:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:*:*:*:*:*:*:*:*
  • cpe:2.3:a:qnap:quts_hero:h4.5.1:-:*:*:*:*:*:*
  • cpe:2.3:a:qnap:quts_hero:h4.5.1.1472:*:*:*:*:*:*:*
  • cpe:2.3:a:qnap:quts_hero:*:*:*:*:*:*:*:*
  • cpe:2.3:a:qnap:qts:4.3.3.1432:*:*:*:*:*:*:*
  • cpe:2.3:a:qnap:qts:4.3.3.1386:*:*:*:*:*:*:*
  • cpe:2.3:a:qnap:qts:4.3.3.1315:*:*:*:*:*:*:*
  • cpe:2.3:a:qnap:qts:4.3.3.1252:*:*:*:*:*:*:*
  • cpe:2.3:a:qnap:qts:4.3.3.1161:*:*:*:*:*:*:*
  • cpe:2.3:a:qnap:qts:4.3.3.1098:*:*:*:*:*:*:*
  • cpe:2.3:a:qnap:qts:4.3.3.1051:*:*:*:*:*:*:*
  • cpe:2.3:a:qnap:qts:4.3.3.0998:*:*:*:*:*:*:*
  • cpe:2.3:a:qnap:qts:4.3.3.0868:*:*:*:*:*:*:*
  • cpe:2.3:a:qnap:qts:4.3.3.0174:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
Explicación de los campos