QNAP Systemsは12月7日(米国時間)、「Multiple Vulnerabilities in QTS and QuTS hero - Security Advisory|QNAP (US)」において、QNAP NAS専用OS「QTS」「QuTS hero」の以前のバージョンにクロスサイトスクリプティングの脆弱性が4つ存在すると伝えた。存在するとされる脆弱性は次のとおり。
- CVE-2020-2495:クロスサイトスクリプティング脆弱性。リモートからFileStationに悪意のあるコードを挿入される可能性あり。
- CVE-2020-2496:クロスサイトスクリプティング脆弱性。リモートからFileStationに悪意のあるコードを挿入される可能性あり。
- CVE-2020-2497:クロスサイトスクリプティング脆弱性。リモートからシステム接続ログに悪意のあるコードを挿入される可能性あり。
- CVE-2020-2498:クロスサイトスクリプティング脆弱性。リモートから証明書構成に悪意のあるコードを挿入される可能性あり。
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- QuTS hero h4.5.1.1472 build 20201031およびこれよりもあとのバージョン
- QTS 4.5.1.1456 build 20201015およびこれよりもあとのバージョン
- QTS 4.4.3.1354 build 20200702およびこれよりもあとのバージョン
- QTS 4.3.6.1333 build 20200608およびこれよりもあとのバージョン
- QTS 4.3.4.1368 build 20200703およびこれよりもあとのバージョン
- QTS 4.3.3.1315 build 20200611およびこれよりもあとのバージョン
- QTS 4.2.6 build 20200611およびこれよりもあとのバージョン
QNAP Systemsは該当するプロダクトを使用しているユーザーに対し、それぞれシステムを最新バージョンへ更新することを強く推奨している。
QTSおよびQuTS heroのアップデートは、管理者アカウントでQTSまたはQuTS heroにログインしたのち、コントロールパネルのシステムからファームウェアアップデートに移動し、「Check for Update」をクリックすることで行うことができる。なお、QNAP SystemsのWebサイトからアップデートをダウンロードすることも可能。