Inicio / Alerta Temprana / Vulnerabilidades / CVE-2020-36195

Vulnerabilidad en Multimedia Console o el add-on Media Streaming de QTS en NAS de QNAP (CVE-2020-36195)

Tipo: 
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Gravedad: 
Alta
Fecha publicación : 
17/04/2021
Última modificación: 
23/04/2021
Descripción
Se ha reportado de una vulnerabilidad de inyección SQL que afecta al NAS de QNAP que ejecuta Multimedia Console o el add-on Media Streaming. Si se explota, la vulnerabilidad permite a atacantes remotos obtener información de la aplicación. QNAP ya ha corregido esta vulnerabilidad en las siguientes versiones de Multimedia Console y el add-on Media Streaming. QTS versión 4.3.3: add-on Media Streaming versiones 430.1.8.10 y posteriores. QTS versión 4.3.6: add-on Media Streaming versiones 430.1.8.8 y posteriores. QTS versiones 4.4.x y posteriores. Multimedia Console versiones 1.3.4 y posteriores. También hemos corregido esta vulnerabilidad en las siguientes versiones de QTS 4.3.3 y QTS 4.3.6, respectivamente: QTS versión 4.3.3.1624 Build 20210416 o posteriores. QTS versiones 4.3.6.1620 Build 20210322 o posteriores
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:o:qnap:qts:4.3.6:-:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1446:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1411:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1333:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1286:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1263:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1218:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1154:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1070:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1033:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.1013:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.0993:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.0979:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.0959:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.0944:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.0923:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.0907:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.6.0895:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.1432:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.1386:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.1315:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.1252:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.1161:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.1098:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.1051:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0998:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0868:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0570:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0546:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0514:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0448:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0418:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0416:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0404:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0396:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0378:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0369:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0361:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0353:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0351:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0299:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0262:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0238:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0229:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0210:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0188:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0174:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0154:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0136:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0096:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:4.3.3.0095:*:*:*:*:*:*:*
  • cpe:2.3:o:qnap:qts:*:*:*:*:*:*:*:*
  • cpe:2.3:a:qnap:multimedia_console:*:*:*:*:*:*:*:*
  • cpe:2.3:a:qnap:media_streaming_add-on:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
Explicación de los campos