QNAP Systemsは10月29日(現地時間)、QNAPのプロダクトに脆弱性が存在することを報告した。この脆弱性は修正済みとされている。該当するプロダクトを使用しているかを確認するとともに、製品を使用している場合は説明されている内容に従って対処することが望まれる。

修正対象の脆弱性に関する情報は次のページにまとまっている。

  • Vulnerability in HBS 3 Hybrid Backup Sync (PWN2OWN 2024) - Security Advisory|QNAP

    Vulnerability in HBS 3 Hybrid Backup Sync (PWN2OWN 2024) - Security Advisory|QNAP

脆弱性の影響を受ける製品

脆弱性が存在するプロダクトおよびバージョンは次のとおり。

  • HBS 3 Hybrid Backup Sync 25.1.x

脆弱性が修正された製品

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • HBS 3 Hybrid Backup Sync 25.1.1.673およびこれ以降のバージョン

脆弱性に関する情報

修正された脆弱性に関する情報(CVE)は次のとおり。

  • CVE-2024-50388 - OSコマンドインジェクションの脆弱性。この脆弱性が悪用されると、リモートの攻撃者に任意のコマンドを実行される可能性がある

推奨される対策

修正対象となっている脆弱性の深刻度は緊急(Critical)と評価されており注意。QNAP Systemsから提供されている情報を確認し、公開されている更新手順に従って当該アプリケーションをアップデートすることが望まれている。