Vulnerabilidades de inyección de comandos en QVR de QNAP
Dispositivos QNAP EOL — productos descatalogados— que ejecutan QVR, el software de centro de control de sistemas de vigilancia, en versiones anteriores a QVR 5.1.5 compilación 20210803.
QNAP ha detectado tres vulnerabilidades, dos de ellas de severidad crítica, que afectan a ciertos dispositivos QNAP descatalogados, que ejecutan el software QVR de centro de control de vigilancia y que de ser explotadas podrían permitir a un atacante remoto ejecutar comandos arbitrarios.
QNAP recomienda consultar el estado de soporte del producto para ver las últimas actualizaciones disponibles para su modelo de dispositivo y actualizar los dispositivos lo antes posible. Para actualizar sus dispositivos:
- Inicie sesión en QVR como administrador.
- Vaya a “Panel de control > Configuración del sistema > Actualización del firmware”.
- En "Live Update", haga clic en "Check for Update".
- Se descarga e instala la última actualización QVR disponible.
También se puede descargar la actualización desde aquí. Vaya a “Soporte > Descargar”, y a continuación realice la actualización manual para el dispositivo específico.
¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.
QNAP ha publicado una nueva versión del firmware afectado, QVR 5.1.5 compilación 20210803, que corrige estas vulnerabilidades que, de ser explotadas, podrían conducir a la ejecución remota de código arbitrario en los dispositivos desactualizados.
