Vulnérabilités critiques de lecture et d'exécution de code du NAS
Suivie comme CVE-2024-38643, une authentification manquante pour une vulnérabilité de fonction critique dans l'application de prise de notes et de collaboration de QNAP pour ses appareils NAS, Notes Station 3, pourrait fournir à un attaquant distant un accès non autorisé aux systèmes vulnérables.
La vulnérabilité, qui a reçu un indice de gravité CVSS v3 de 9,8 sur 10, affecte Notes Station 3 versions 3.9.x et a été corrigée dans les versions 3.9.7 et ultérieures. Outre les fournisseurs de services informatiques, les services NAS de QNAP sont utilisés par un certain nombre d'organisations dans les segments des médias et du divertissement, de la santé et de l'éducation pour leur matériel de stockage de données fiable.
Une autre faille de falsification de requête côté serveur (SSRF), suivie sous le numéro CVE-2024-38645, affecte les mêmes versions de l'application, permettant aux acteurs distants dont l'accès est compromis via CVE-2024-38643 de lire l'intégralité des données de l'application. La faille porte une note CVSS v4 de 9,4/10.
GIPHY App Key not set. Please check settings