继 Pwn2Own Ireland 2024 漏洞之后,QNAP 在 QuRouter 中修补了零日漏洞 CVE-2024-50389

阅读量4384

发布时间 : 2024-11-05 11:00:13

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/qnap-patches-zero-day-flaw-cve-2024-50389-in-qurouter-following-pwn2own-ireland-2024-exploits/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-50387 & CVE-2024-50389 QuRouter

QNAP 已迅速采取行动,解决其 QuRouter 网络安全设备中的一个关键零日漏洞,该漏洞在最近于爱尔兰举行的 Pwn2Own 黑客大赛中被安全研究人员利用。

该漏洞被追踪为 CVE-2024-50389,Viettel 网络安全团队利用该漏洞入侵了一台 QuRouter 设备,并赢得了比赛期间颁发的 100 多万美元奖金中的一部分。

QNAP 立即为受影响的 QuRouter 2.4.x 版本发布了补丁,敦促用户立即升级到 2.4.5.032 或更高版本。该公司感谢 Viettel Cyber Security 负责任地披露了该漏洞。

继上周 QNAP 修补了另外两个零日漏洞之后,Viettel Cyber Security 在 Pwn2Own 期间也发现了这一漏洞:

  • CVE-2024-50388: HBS 3 混合备份同步解决方案中的漏洞,允许攻击者在 TS-464 NAS 设备上执行任意命令。
  • CVE-2024-50387: QNAP 的 SMB 服务中存在严重的 SQL 注入漏洞。

QNAP 对这些漏洞的快速反应值得称赞,特别是与供应商在公开发布 Pwn2Own 漏洞细节之前通常需要 90 天的时间形成鲜明对比。

更新您的 QuRouter 对于降低 CVE-2024-50389 带来的风险至关重要。QNAP 已提供更新至最新固件版本的明确说明:

  1. 登录您的 QuRouter。
  2. 转到固件。
  3. 选择立即更新。
  4. 选择最新版本。
  5. 单击 “应用 ”并确认。

然后,QuRouter 将下载并安装必要的更新。或者,用户也可以从 QNAP 下载中心手动下载最新固件,然后通过 QuRouter 界面进行应用。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66