内容摘要：Bleeping Computer 网站消息，QNAP Systems 发布两个关键命令注入漏洞的安全警告。据悉，这两个漏洞会影响 QTS 操作系统的多个版本及其网络连接存储NAS）设备上的应用程序。

Bleeping Computer 网站消息 ，警示QNAP Systems 发布两个关键命令注入漏洞的操程序安全警告
。据悉，作系中存这两个漏洞会影响 QTS 操作系统的统和多个版本及其网络连接存储（NAS）设备上的应用程序。

第一个漏洞被追踪为 CVE-2023-23368，应用严重性评级为 9.8（满分 10 分），高危是云计算漏洞一个命令注入漏洞 ，远程网络攻击者可利用该漏洞通过网络执行命令，警示受该安全漏洞影响的操程序 QTS 版本包括 QTS 5.0.x 和 4.5.x 、QuTS hero h5.0.x 和 h4.5.x ，作系中存以及 QuTScloud c5.0.1：

QTS 5.0.1.2376 版本 20230421 及更高版本QTS 4.5.4.2374 版本 20230416 及更高版本QTS hero h5.0.1.2376 build 20230421 及更高版本QuTS hero h4.5.4.2374 版本 20230417 及更高版本QuTScloud c5.0.1.2374 及更高版本

第二个漏洞被追踪为 CVE-2023-23369 ，统和严重性评级为 9.0（满分 10 分） ，应用远程网络攻击者可通过该漏洞达到与利用 CVE-2023-23368 漏洞相同的高危效果  。亿华云受漏洞影响的漏洞 QTS 版本包括 5.1.x、4.3.6 、警示4.3.4、4.3.3和4.2.x  ，多媒体控制台 2.1.x 和 1.4.x，以及媒体流插件 500.1.x 和 500.0.x：

QTS 5.1.0.2399 版本 20230515 及更高版本QTS 4.3.6.2441 版本 20230621 及更高版本QTS 4.3.4.2451 版本 20230621 及更高版本QTS 4.3.3.2420 版本 20230621 及更高版本QTS 4.2.6 版本 20230621 及更高版本多媒体控制台 2.1.2 (2023/05/04) 及更高版本多媒体控制台 1.4.8 (2023/05/05) 及更高版本媒体流附加组件 500.1.1.2 (2023/06/12) 及更高版本媒体流附加组件 500.0.0.11 (2023/06/16) 及更高版本

建议：需要更新 QTS、QuTS hero 或 QuTScloud 的话，模板下载管理员可登录并导航至控制面板 > 系统 > 固件更新 ，然后点击实时更新下的 "检查更新"，下载并安装最新版本，也可从 QNAP   网站手动下载更新 。此外，管理员通过在应用程序中心查找安装并单击“更新”按钮 ，可以更新多媒体控制台。（更新媒体流插件的建站模板过程与上述步骤类似 ，管理员可以通过搜索应用程序中心来定位该插件）

鉴于NAS 设备经常被用来存储数据，因此命令执行漏洞可能会带来严重影响。网络犯罪分子在“寻找”到新受害目标后 ，会利用漏洞窃取或加密敏感数据 ，之后便可以向受害者索要赎金
。

值得一提的是，香港云服务器QNAP 设备曾多次成为大规模勒索软件攻击的目标。一年前 ，Deadbolt 勒索软件团伙利用零日漏洞成功加密暴露在公共互联网上的 NAS 设备。因此 ，强烈建议 QNAP 用户尽快使用安全可靠的安全更新。

文章来源 ：https://www.bleepingcomputer.com/news/security/qnap-warns-of-critical-command-injection-flaws-in-qts-os-apps/#google_vignette

免费模板