2 月 1 日消息，NAS 廠商威聯通(QNAP)近日發布安全公告，表示 QTS 5.0.1 和 QuTS hero h5.0.1 兩款軟件存在嚴重漏洞 CVE-2022-27596，允許攻擊者在固件中植入惡意代碼。

該漏洞在 CVSS v3 評分為 9.8(最高分為 10 分)，因此IT之家推薦使用上述兩款軟件的網友盡快升級。

QNAP 尚未透露有關該漏洞的任何進一步細節。根據 Bleeping Computer 報道，漏洞 CVE-2022-27596 被歸類為“SQL 命令中不當使用特殊元素”(SQL 注入)。

運行以下軟件版本的設備會受到影響：

QTS 5.x

QuTS hero h5.x

威聯通已經修復了上述漏洞，推薦用戶升級到：

QTS 5.0.1.2234 build 20221201 及更高版本

QuTS hero h5.0.1.2248 build 20221215 及更高版本

Bleeping Computer 在報告中指出，至少超過 29000 臺設備受到影響。Censys 安全研究人員的一份報告進一步指出，在網上發現的 60000 多臺 QNAP NAS 設備中，只有大約 550 臺打了補丁。

關鍵詞：