QNAP QSA-24-20 : License Center - Exécution de code arbitraire - CVE-2024-21903
%22%20fill=%22%23fff%22%20textLength=%22230%22%3ECVE%3C/text%3E%3Ctext%20x=%221015%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22950%22%3ECVE-2024-21903%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
QSA-24-20 - La vulnérabilité CVE-2024-21903 permet à un administrateur authentifié ou à un utilisateur délégué d’exécuter des commandes arbitraires.
QSA-24-20 - La vulnérabilité CVE-2024-21903 permet à un administrateur authentifié ou à un utilisateur délégué d’exécuter des commandes arbitraires.
QNAP QSA-24-25 : Music Station - Lecture arbitraire de fichier et contournement d'authentification - CVE-2023-45038
%22%20fill=%22%23fff%22%20textLength=%22230%22%3ECVE%3C/text%3E%3Ctext%20x=%221015%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22950%22%3ECVE-2023-45038%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
QSA-24-25 - Cette vulnérabilité CVE-2023-45038 permet à un attaquant non authentifié de contourner l’authentification et de lire n’importe quel fichier en tant que root.
QNAP QSA-22-14 : VideoStation - Plusieurs vulnérabilités
%22%20fill=%22%23fff%22%20textLength=%22230%22%3ECVE%3C/text%3E%3Ctext%20x=%221015%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22950%22%3ECVE-2021-44055%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
%22%20fill=%22%23fff%22%20textLength=%22230%22%3ECVE%3C/text%3E%3Ctext%20x=%221015%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22950%22%3ECVE-2021-44056%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
La première vulnérabilité permet à un attaquant non authentifié de divulguer le nom et l’identifiant du fichier vidéo. La deuxième vulnérabilité permet à un utilisateur authentifié n’ayant pas accès à l’application VideoStation de contourner la vérification des privilèges d’accès de l’application.
QNAP QSA-22-15 : PhotoStation - Contournement du contrôle des privilèges de l'application
%22%20fill=%22%23fff%22%20textLength=%22230%22%3ECVE%3C/text%3E%3Ctext%20x=%221015%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22950%22%3ECVE-2021-44057%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
Cette vulnérabilité permet à un utilisateur authentifié sans accès à l’application PhotoStation de contourner les restrictions d’accès.
QNAP QSA-21-25 : Helpdesk - Un simple utilisateur sans privilèges peut devenir administrateur du NAS
%22%20fill=%22%23fff%22%20textLength=%22230%22%3ECVE%3C/text%3E%3Ctext%20x=%221015%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22950%22%3ECVE-2021-28814%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
Cette vulnérabilité permet à un utilisateur authentifié d’activer l’accès SSH et d’en récupérer le mot de passe valide pour le compte _qnap_support. Ce compte est “sudoer” sur le périphérique.
Synology SA-20:25 : SafeAccess - Plusieurs vulnérabilités
%22%20fill=%22%23fff%22%20textLength=%22230%22%3ECVE%3C/text%3E%3Ctext%20x=%221015%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22950%22%3ECVE-2020-27659%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
%22%20fill=%22%23fff%22%20textLength=%22230%22%3ECVE%3C/text%3E%3Ctext%20x=%221015%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22950%22%3ECVE-2020-27660%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
%22%20fill=%22%23fff%22%20textLength=%22510%22%3ESynology%3C/text%3E%3Ctext%20x=%221085%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22530%22%3ESA-20:25%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
XSS Stockée et injection SQLite sont présentes dans l’application Safe Access (1.2.1-0220).
CVE-2020-25867 : SoPlanning Contournement de vérification de la clé de partage
%22%20fill=%22%23fff%22%20textLength=%22230%22%3ECVE%3C/text%3E%3Ctext%20x=%221015%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22950%22%3ECVE-2020-25867%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
Une vulnérabilité de confusion de type PHP permet à un attaquant non authentifié d’accéder au contenu des calendriers sans connaître la clé de sécurité.
Synology SA-18-15 : Photo Station - Élévation de privilèges et CRLF
%22%20fill=%22%23fff%22%20textLength=%22230%22%3ECVE%3C/text%3E%3Ctext%20x=%22985%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22890%22%3ECVE-2018-8925%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
%22%20fill=%22%23fff%22%20textLength=%22230%22%3ECVE%3C/text%3E%3Ctext%20x=%22985%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22890%22%3ECVE-2018-8926%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
%22%20fill=%22%23fff%22%20textLength=%22510%22%3ESynology%3C/text%3E%3Ctext%20x=%221085%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22530%22%3ESA-18:15%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
Plusieurs vulnérabilités permettent à un attaquant de voler la session d’un administrateur ou d’élever ses privilèges sur l’application Photo Station.
Synology SA-17:17 : Surveillance Station - Traversée de répertoire
%22%20fill=%22%23fff%22%20textLength=%22230%22%3ECVE%3C/text%3E%3Ctext%20x=%221015%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22950%22%3ECVE-2017-16770%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
%22%20fill=%22%23fff%22%20textLength=%22510%22%3ESynology%3C/text%3E%3Ctext%20x=%221085%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22530%22%3ESA-17:77%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
Une vulnérabilité de traversée de répertoire permet à un attaquant authentifié qui a l’accès à Surveillance Station de télécharger n’import quelle image du système