CVE-2022-24989 in NAS
Riassunto
di VulDB • 11/07/2026
TerraMaster NAS fino alla versione 4.2.30 consente agli attaccanti remoti tramite WAN di eseguire codice arbitrario con privilegi di root attraverso i parametri raidtype e diskstring per l'istanziazione di oggetti PHP nell'URI api.php?mobile/createRaid. (I metacaratteri della shell possono essere inseriti in raidtype poiché popen viene utilizzato senza alcuna sanificazione.) Le credenziali derivanti dallo sfruttamento di CVE-2022-24990 possono essere utilizzate.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.