アーカイブ
QNAP QTSにおけるクロスサイトスクリプティングの脆弱性
2016年6月27日 | 注意喚起
LAC Advisory No.122
Problem first discovered on: Tue, 15 Sep 2015
Published on: Mon, 27 Jun 2016
QNAP Systems, Inc. が提供するQTSは、Turbo NAS用のOSです。QTSには、クロスサイトスクリプティング(CWE-79)の脆弱性が存在します。このため、QTSが動作する、QNAP社製SOHO NASなどで特定のURLにアクセスした場合に、ユーザのウェブブラウザ上で任意のスクリプトを実行される恐れがあります。
スクリーンショット
影響を受けるバージョン
QTS 4.2.0より前のバージョン
対策
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
[ベンダ情報]
https://www.qnap.com/i/en/support/con_show.php?cid=93
発見者
山崎 圭吾(サイバー・グリッド研究所/システムアセスメント部)
謝辞:
本問題は、情報セキュリティ早期警戒パートナーシップに基づき、ラックから IPAに報告し、JPCERT/CCにより開発者との調整が行われました。
https://jvn.jp/jp/JVN42930233/index.html
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-000119.html
CVE番号:
CVE-2015-5664
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5664