QNAP ha emitido un aviso de seguridad relacionado con múltiples vulnerabilidades críticas en Notes Station 3, una aplicación ampliamente utilizada para gestionar y compartir notas en dispositivos QNAP. Estas vulnerabilidades, con puntuaciones CVSS que varían entre 8.4 y 9.4, podrían exponer los sistemas a accesos no autorizados, robo de datos y ejecución remota de comandos si no se corrigen.
- CVE-2024-38645 (CVSS 9.4): Vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF). Esta falla podría permitir a atacantes con acceso de usuario leer datos de la aplicación.
- CVE-2024-38643 (CVSS 9.3): Vulnerabilidad de autenticación faltante en funciones críticas. Si es explotada, esta vulnerabilidad podría permitir que atacantes remotos obtengan acceso no autorizado al sistema.
- CVE-2024-38644 (CVSS 8.7): Vulnerabilidad de inyección de comandos. Atacantes con acceso de usuario podrían ejecutar comandos arbitrarios en el sistema.
- CVE-2024-38646 (CVSS 8.4): Asignación incorrecta de permisos para recursos críticos. Atacantes locales con acceso de administrador podrían obtener acceso no autorizado a datos sensibles.
Productos afectados:
- Notes Station 3.
Versiones afectadas:
- Afectado desde la versión 3.9.x hasta antes de la 3.9.7.
Solución:
- Actualizar a la versión 3.9.7 o posterior.
Recomendaciones:
- Verificar la versión instalada de Notes Station 3 y actualizarla de inmediato si es anterior a la versión 3.9.7.
- Configurar controles de acceso estrictos en dispositivos QNAP para reducir los riesgos potenciales.
- Implementar un monitoreo continuo de los sistemas para detectar intentos de acceso no autorizados.
Referencias: