公開日:2023/12/22 最終更新日:2023/12/22

JVNVU#96089700
QNAP製VioStor NVRにおけるOSコマンドインジェクションの脆弱性

概要

QNAPが提供するVioStor NVRには、OSコマンドインジェクションの脆弱性が存在します。

影響を受けるシステム

  • VioStor NVR QVR ファームウェア 4.x系

詳細情報

QNAPが提供するVioStor NVRには、次の脆弱性が存在します。

  • OSコマンドインジェクション (CWE-78) - CVE-2023-47565
なお、本件の報告者により本脆弱性を悪用した攻撃が確認されており、またJPCERT/CCにおいても同様の通信を確認しています。

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 認証されたユーザによって、コマンドが実行される

対策方法

アップデートする
開発者は、アップデートを提供しています。
また開発者によると、QVRファームウェア5.x系および4.x系はすでにサポートが終了しているとのことです。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報をご確認ください。

参考情報

  1. ICS Advisory | ICSA-23-355-02
    QNAP VioStor NVR
  2. Akamai Security Research
    Actively Exploited Vulnerability in QNAP VioStor NVR: Fixed, Patches Available

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia