QNAP QTS até 4.2.6/4.3.3.0378/4.3.4.0387 Excesso de tampão
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 8.2 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade classificada como crítico foi encontrada em QNAP QTS até 4.2.6/4.3.3.0378/4.3.4.0387. A função afetada é desconhecida. A utilização pode causar Excesso de tampão. Esta vulnerabilidade está registrada como CVE-2017-17030. O ataque pode ser iniciado a partir da rede. Nenhum exploit está disponível. É aconselhável atualizar o componente afetado.
Detalhes
Uma vulnerabilidade classificada como crítico foi encontrada em QNAP QTS até 4.2.6/4.3.3.0378/4.3.4.0387. A função afetada é desconhecida. A utilização pode causar Excesso de tampão. O uso do CWE para declarar o problema aponta para CWE-119. O problema foi detectado em 15/12/2017. A falha foi publicada 15/12/2017 como NAS-201712-15 como Security Advisory (Site). O boletim está compartilhado para download em qnap.com.
Esta vulnerabilidade está registrada como CVE-2017-17030. O CVE foi atribuído em 28/11/2017. O ataque pode ser iniciado a partir da rede. Detalhes técnicos não estão disponíveis. Esta vulnerabilidade tem popularidade abaixo da média. Nenhum exploit está disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. A recomendação ressalta:
Multiple buffer overflow vulnerabilities were recently found in QTS 4.2.6 build 20171026, 4.3.3.0378 build 20171117, 4.3.4.0387 (Beta 2) build 20171116 and earlier. If exploited, these vulnerabilities may allow remote attackers to run arbitrary code on NAS devices.
Foi declarado como não definido. Como 0-day, o valor estimado no mercado ilegal era por volta de $0-$5k. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 11899 (QNAP QTS Multiple Remote Buffer Overflow Vulnerabilities).
Atualizar para a versão 4.2.6 Build 20171208, 4.3.3.0396 Build 20171205 e 4.3.4.0411 Beta 3 Build 20171208 é suficiente para tratar esta vulnerabilidade. É aconselhável atualizar o componente afetado.
Esta vulnerabilidade também foi registrada em outros bancos de dados de vulnerabilidades: SecurityTracker (ID 1040018).
Produto
Tipo
Fabricante
Nome
Versão
Licença
Site
- Fabricante: https://www.qnap.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 8.5VulDB Meta Pontuação Temporária: 8.4
VulDB Pontuação Base: 7.3
VulDB Pontuação Temporária: 7.0
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 9.8
NVD Vetor: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Excesso de tampãoCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
OpenVAS ID: 860677
OpenVAS Nome: QNAP QTS Unauthenticated Remote Code Execution Vulnerability
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AtualizaçãoEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Atualização: QTS 4.2.6 Build 20171208/4.3.3.0396 Build 20171205/4.3.4.0411 Beta 3 Build 20171208
Linha do tempo
28/11/2017 🔍15/12/2017 🔍
15/12/2017 🔍
15/12/2017 🔍
16/12/2017 🔍
17/12/2017 🔍
21/12/2017 🔍
15/12/2019 🔍
Fontes
Fabricante: qnap.comAconselhamento: NAS-201712-15
Estado: Confirmado
Confirmação: 🔍
CVE: CVE-2017-17030 (🔍)
GCVE (CVE): GCVE-0-2017-17030
GCVE (VulDB): GCVE-100-110762
SecurityTracker: 1040018
Veja também: 🔍
Entrada
Criado: 17/12/2017 09h56Atualizado: 15/12/2019 19h21
Ajustamentos: 17/12/2017 09h56 (69), 15/12/2019 19h21 (6)
Completo: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.