QNAP, reconocido fabricante de dispositivos de red y almacenamiento, ha emitido un aviso de seguridad urgente para los usuarios de su dispositivo QuRouter. Este aviso aborda múltiples vulnerabilidades que podrían ser explotadas por atacantes remotos, permitiendo la ejecución de comandos arbitrarios en dispositivos vulnerables.
CVE-2024-48860 (CVSS 9.5):
Esta vulnerabilidad crítica afecta al QuRouter y presenta un CVSS de 9.5. Permite la inyección de comandos, lo que puede ser aprovechado por atacantes remotos para ejecutar comandos arbitrarios en los dispositivos.
CVE-2024-48861 (CVSS 7.3):
Clasificada con una gravedad alta y un CVSS de 7.3, esta vulnerabilidad también involucra la posibilidad de inyección de comandos por parte de atacantes remotos, aunque con un impacto algo menor que la CVE-2024-48860.
Productos y versiones afectadas:
| CVE | Productos afectados | Versiones afectadas | Solución |
|---|---|---|---|
| CVE-2024-48860 | QuRouter | Desde la versión 2.4.x hasta antes de 2.4.3.103 | Actualizar a la versión QuRouter 2.4.3.106 o posterior |
| CVE-2024-48861 | QuRouter | Desde la versión 2.4.x hasta antes de 2.4.4.106 | Actualizar a la versión QuRouter 2.4.4.106 o posterior |
Recomendaciones:
- Configurar contraseñas fuertes y únicas para el acceso al dispositivo.
- Restringir el acceso remoto únicamente a redes confiables.
- Mantener el firmware actualizado en todo momento.
Referencias: