QNAP Systemsは9月8日(現地時間)、「Vulnerability in QuLog Center on QTS, QuTS hero and QuTScloud - Security Advisory|QNAP」において、QNAPの複数のプロダクトに複数の脆弱性が存在すると伝えた。この脆弱性はすでに対処済み(Resolved)とされている。該当するプロダクトを使っているかどうかを確認するとともに、製品を使っている場合は説明されている内容に従ってアップデートを適用することが望まれる。

  • Vulnerability in QuLog Center on QTS、QuTS hero and QuTScloud - Security Advisory|QNAP

    Vulnerability in QuLog Center on QTS, QuTS hero and QuTScloud - Security Advisory|QNAP

この脆弱性はクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性とされており、複数のQNAPオペレーティングシステム上のQuLog Centerに影響する。この脆弱性が悪用された場合、認証されたユーザがネットワークベクタ経由で悪意のあるコードを注入することが可能になるとされており注意が必要。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • QuLog Center 1.5
  • QuLog Center 1.4
  • QuLog Center 1.3

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • QTS 5.0.1: QuLog Center 1.5.0.738 (2023/03/06)およびこれ以降のバージョン
  • QTS 4.5.4: QuLog Center 1.3.1.645 (2023/02/22)およびこれ以降のバージョン
  • QuTS hero h5.0.1: QuLog Center 1.5.0.738 (2023/03/06)およびこれ以降のバージョン
  • QuTS hero h4.5.4: QuLog Center 1.3.1.645 (2023/02/22)およびこれ以降のバージョン
  • QuTscloud c5.0.1: QuLog Center 1.4.1.691 (2023/03/01)およびこれ以降のバージョン

修正対象となっている脆弱性は、深刻度は重要(High)とされていることから注意が必要。提供されている情報に従って迅速に対応するとともに、QNAPから提供されるセキュリティ情報に合わせて対処することが望まれる。