关于QNAP QTS & QuTS Hero原型污染漏洞（CVE-2023-39296）的安全预警

一、 基本情况

QNAP Systems, Inc.（威联通科技）主要生产用于文件共享、虚拟化、存储管理和监控应用的网络附加存储（NAS）设备。

二、 漏洞描述

某些QNAP操作系统中修复了一个原型污染漏洞（CVE-2023-39296），其CVSSv3评分为7.5。该漏洞影响了QTS 和 QuTS Hero，可能导致远程威胁者使用类型不兼容的属性覆盖现有属性，从而可能导致系统崩溃。

此外，QTS 和 QuTS Hero中还修复了一个OS命令注入漏洞（CVE-2023-39294，中危），经过身份验证的管理员用户可利用该漏洞远程执行命令。

三、 影响范围

QTS 5.1.x < QTS 5.1.3.2578 build 20231110

QuTS hero h5.1.x < QuTS hero h5.1.3.2578 build 20231110

四、 修复建议

目前这些漏洞已经修复，受影响用户可升级到以下版本：

QTS 5.1.x >= QTS 5.1.3.2578 build 20231110

QuTS hero h5.1.x >= QuTS hero h5.1.3.2578 build 20231110

下载链接：

https://www.qnap.com/en/download

注：更新QTS 或QuTS hero步骤如下：

1.以管理员身份登录 QTS 或 QuTS hero；

2.转到【控制面板】>【系统】>【固件更新】；

3.在【实时更新】下，单击【检查更新】；

系统下载并安装最新的可用更新。

五、 参考链接

https://www.qnap.com/en/security-advisory/qsa-23-64

https://www.qnap.com/en/security-advisory/qsa-23-54