Tekwindサポート提供製品関連FAQ - QNAP-NAS 脆弱性関連情報ポータル 2024~25

ID #1002

QNAP-NAS 脆弱性関連情報ポータル 2024~25

~ 0 min

2025-06-11 13:05

こちらはQNAP社が公開する最新のNAS関連の脆弱性情報のうち、影響・危険度が「高/重要」以上を掲載しています。ご利用いただくNAS内データの消失や漏洩などの損害を防ぐため、こちらのページを定期的にチェックしてください。

尚、発見された脆弱性への基本的な対策はメーカーが公開する対策済みバージョンのOS/アプリケーションへのアップデートとなります。特にLAN外部からのNASへのアクセスを許可、或いは、共有フォルダを外部公開しているといった場合には、各項に記載される対策手段を速やかに実施いただくを強くお勧めします。

※ご注意
・記載される情報はページ公開時点のものとなり、今後記載内容が更新される可能性があります。
・新たな脆弱性関連のニュースの公開に併せて、解決済みの旧い情報から順次削除します。
・リンク先メーカーウェブサイトの脆弱性情報ページ「セキュリティ・アドバイザリー」の詳細解説は英語のみとなります。内容の確認にあたっては必要に応じてブラウザの翻訳機能等をご利用ください。

■最新の脆弱性情報 ※2025年 6月10日更新

File Station 5 の複数の脆弱性

最終更新日：2025年 6月 7日
セキュリティID：QSA-25-16
危険度：重要
CVE識別子:CVE-2025-22484,CVE-2025-22490,CVE-2025-29871,CVE-2025-29872,CVE-2025-29873,CVE-2025-29876,CVE-2025-29877,CVE-2025-33035,CVE-2025-30279,CVE-2025-33031
影響を受ける製品：File Station 5 version 5.5.x

File Station 5 に不適切な証明書検証の脆弱性が複数報告されています。

CVE-2025-22484, CVE-2025-29872: 制限のないリソース割り当てに関する脆弱性があり、リモート攻撃者がユーザーアカウントにアクセスした場合、他のシステム、アプリケーション、またはプロセスが同じ種類のリソースへのアクセスを阻害ことを可能とします。
CVE-2025-22490, CVE-2025-29873, CVE-2025-29876, CVE-2025-29877: NULLポインタ参照の脆弱性があり、リモートの攻撃者がユーザーアカウントにアクセスすると、脆弱性を悪用してサービス拒否 (DoS) 攻撃を開始する可能性があります。
CVE-2025-29871: 境界外読み出しの脆弱性があり、ローカルの攻撃者が管理者アカウントにアクセスした場合、脆弱性を悪用して秘密データを取得する可能性があります。
CVE-2025-33035: パストラバーサルの脆弱性があり、リモートの攻撃者がユーザーアカウントにアクセスすると、脆弱性を悪用して予期しないファイルやシステムデータの内容を読み取ることができます。
CVE-2025-30279, CVE-2025-33031: 不適切な証明書検証の脆弱性があり、リモートの攻撃者がユーザーアカウントにアクセスした場合、システムのセキュリティを侵害する可能性があります。

ステータス：解決済み
対策手段：対象となるFile Stationアプリを利用している場合には、下記の修正/対策済みバージョン、或いはそれ以降の最新版へアップデートしてください。

アップデート対象バージョン	修正済みバージョン
File Station 5 version5.5.x	File Station 5 version 5.5.6.4847 およびそれ以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Multiple Vulnerabilities in File Station 5

OpenSSH の複数の脆弱性

最終更新日：2025年 6月 7日
セキュリティID：QSA-25-14
危険度：重要
CVE識別子:CVE-2025-26465,CVE-2025-26466
影響を受ける製品：QTS 5.2.x, QuTS hero h5.2.x

OpenSSHに複数の脆弱性が報告されており、QTS、およびQuTS heroへの影響があります。

ステータス：解決済み
対策手段：対象となるOSを利用している場合には、下記の修正/対策済みバージョン、或いはそれ以降の最新版へアップデートしてください。

アップデート対象バージョン	修正済みバージョン
QTS 5.2.x	QTS 5.2.4.3079 build 20250321 およびそれ以降
QuTS hero h5.2.x	QuTS hero h5.2.4.3079 build 20250321 およびそれ以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Multiple Vulnerabilities in OpenSSH

OpenSSH の脆弱性

最終更新日：2025年 6月 7日
セキュリティID：QSA-25-13
危険度：重要
CVE識別子:CVE-2024-6387
影響を受ける製品：QES 2.2.0

OpenSSHに脆弱性が報告されており、QESへの影響があります。

ステータス：解決済み
対策手段：対象となるQES/OSを利用している場合には、下記の修正/対策済みバージョン、或いはそれ以降の最新版へアップデートしてください。

アップデート対象バージョン	修正済みバージョン
QES 2.2.0	QES 2.2.1 build 20250304 およびそれ以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Vulnerability in OpenSSH

QTSおよびQuTS hero の複数の脆弱性

最終更新日：2025年 6月 7日
セキュリティID：QSA-25-12
危険度：重要
CVE識別子:CVE-2025-22481,CVE-2024-56805
影響を受ける製品：QTS 5.2.x、QuTS hero h5.2.x

QTSおよびQuTS heroに、複数の脆弱性が報告されています。

CVE-2025-22481: コマンドインジェクションの脆弱性があり、リモートの攻撃者がユーザーアカウントにアクセスした場合、脆弱性を悪用して任意のコマンドを実行する可能性があります。
CVE-2024-56805: バッファオーバーフローの脆弱性があり、リモートの攻撃者がユーザーアカウントにアクセスした場合、脆弱性を悪用してメモリを変更したりプロセスをクラッシュさせたりする可能性があります。

ステータス：解決済み
対策手段：対象となるOSを利用している場合には、下記の修正/対策済みバージョン、或いはそれ以降の最新版へアップデートしてください。

アップデート対象バージョン	修正済みバージョン
QTS 5.2.x	QTS 5.2.4.3079 build 20250321 およびそれ以降
QuTS hero h5.2.x	QuTS hero h5.2.4.3079 build 20250321 およびそれ以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Multiple Vulnerabilities in QTS and QuTS hero

Qsync Central の複数の脆弱性

最終更新日：2025年 6月 7日
セキュリティID：QSA-25-10
危険度：重要
CVE識別子:CVE-2025-22482,CVE-2025-29892
影響を受ける製品：Qsync Central 4.5.x

Qsync Central に、複数の脆弱性が報告されています。

CVE-2025-22482: 外部制御フォーマット文字列の脆弱性があり、リモートの攻撃者がユーザーアカウントにアクセスした場合、この脆弱性を悪用して機密データを取得したり、メモリを変更したりする可能性があります。
CVE-2025-29892: SQLインジェクションの脆弱性があり、リモートの攻撃者がユーザーアカウントにアクセスした場合、脆弱性を悪用して不正なコードやコマンドを実行する可能性があります。

ステータス：解決済み
対策手段：対象となるQsync Centralアプリを利用している場合には、下記の修正/対策済みバージョン、或いはそれ以降の最新版へアップデートしてください。

アップデート対象バージョン	修正済みバージョン
Qsync Central 4.5.x	Qsync Central 4.5.0.6 (2025/03/20) およびそれ以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Multiple Vulnerabilities in Qsync Central

File Station 5 の複数の脆弱性

最終更新日：2025年 6月 7日
セキュリティID：QSA-25-09
危険度：重要
CVE識別子:CVE-2025-22486,CVE-2025-29883,CVE-2025-29884,CVE-2025-29885
影響を受ける製品：File Station 5 version 5.5.x

File Station 5 に不適切な証明書検証の脆弱性が複数報告されています。リモートの攻撃者がユーザーアカウントにアクセスした場合、これらの脆弱性を悪用してシステムのセキュリティを侵害する可能性があります。

ステータス：解決済み
対策手段：対象となるFile Stationアプリを利用している場合には、下記の修正/対策済みバージョン、或いはそれ以降の最新版へアップデートしてください。

アップデート対象バージョン	修正済みバージョン
File Station 5 version5.5.x	File Station 5 version 5.5.6.4791 およびそれ以降

ヘルプデスクの脆弱性

最終更新日：2025年 3月 8日
セキュリティID：QSA-25-05
危険度：重要
CVE識別子:CVE-2024-50394
影響を受ける製品：Helpdesk 3.3.x

不適切な証明書検証の脆弱性が Helpdesk に影響を及ぼすことが報告されています。この脆弱性が悪用された場合、リモートの攻撃者がシステムのセキュリティを侵害する可能性があります。※Helpdeskが無効になっているシステムには影響しません。

ステータス：解決済み
対策手段：対象となるHelpdeskを利用している場合には、下記の修正/対策済みバージョンへアップデートしてください。

アップデート対象バージョン	修正済みバージョン
Helpdesk 3.3.x	Helpdesk 3.3.3 以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Vulnerability in Helpdesk

Rsync に複数の脆弱性

最終更新日：2025年 1月 23日
セキュリティID：QSA-25-02
危険度：重要
CVE識別子:CVE-2024-12084,CVE-2024-12085,CVE-2024-12086,CVE-2024-12087,CVE-2024-12088,CVE-2024-12747
影響を受ける製品：HBS 3 Hybrid Backup Sync 25.1.x

rsyncに複数の脆弱性が報告されています。この脆弱性が悪用されると HBS 3 Hybrid Backup Sync に影響を及ぼします。

ステータス：解決済み
対策手段：対象となるHBSを利用している場合には、下記の修正/対策済みバージョンへアップデートしてください。

アップデート対象バージョン	修正済みバージョン
HBS 3 Hybrid Backup Sync 25.1.x	HBS 3 Hybrid Backup Sync 25.1.4.952 以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Multiple Vulnerabilities in Rsync

QTS および QuTS hero に複数の脆弱性

最終更新日：2024年 12月 7日
セキュリティID：QSA-24-49
危険度：重要
CVE識別子:CVE-2024-48859,CVE-2024-48865,CVE-2024-48866,CVE-2024-48867,CVE-2024-48868,CVE-2024-50393 ,CVE-2024-50402,CVE-2024-50403
影響を受ける製品：QTS 5.1.x, 5.2.x; QuTS hero h5.1.x, h5.2.x

特定の QNAPオペレーティングシステムバージョンに影響を及ぼす複数の脆弱性が報告されています。

CVE-2024-48859: この脆弱性が悪用された場合、不正認証によりリモートの攻撃者がシステムのセキュリティを侵害する可能性があります。
CVE-2024-48865: この脆弱性が悪用された場合、不正認証によりローカルネットワーク上の攻撃者がシステムのセキュリティを侵害する可能性があります。
CVE-2024-48866: この脆弱性が悪用された場合、URLエンコーディングの不適切な取り扱いにより、リモートの攻撃者が予期しない状態を引き起こす可能性があります。
CVE-2024-48867, CVE-2024-48868: この脆弱性が悪用された場合、CRLFシーケンスの不適切な無効化により、リモートの攻撃者にアプリケーションデータを改ざんされる可能性があります。
CVE-2024-50393: この脆弱性が悪用された場合、コマンドインジェクションにより、リモートの攻撃者により悪意のあるコマンドを実行される可能性があります。
CVE-2024-50402, CVE-2024-50403: この脆弱性が悪用された場合、外部から制御されるフォーマット文字列により、管理者アクセスを持つリモートの攻撃者により秘密のデータを取得されたり、メモリを変更されたりする可能性があります。

ステータス：解決済み
対策手段：対象となるOSを利用している場合には、下記の修正/対策済みバージョン、或いはそれ以降の最新版へアップデートしてください。

アップデート対象バージョン	修正済みバージョン
QTS 5.1.x	QTS 5.1.9.2954 build 20241120 以降
QTS 5.2.x	QTS 5.2.2.2950 build 20241114 以降
QuTS hero h5.1x	QuTS hero h5.1.9.2954 build 20241120 以降
QuTS hero h5.2x	QuTS hero h5.2.2.2952 build 20241116 以降

ライセンスセンターの脆弱性

最終更新日：2024年 12月 7日
セキュリティID：QSA-24-50
危険度：重要
CVE識別子:CVE-2024-48863
影響を受ける製品：ライセンスセンター 1.9.x

ライセンスセンターに影響を及ぼすコマンドインジェクションの脆弱性が報告されています。この脆弱性が悪用されると、リモートの攻撃者が任意のコマンドを実行できる可能性があります。

ステータス：解決済み
対策手段：対象となるLicense Centerを利用している場合には、下記の修正/対策済みバージョンへアップデートしてください。

アップデート対象バージョン	修正済みバージョン
ライセンスセンター 1.9.x	ライセンスセンター 1.9.43 以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Vulnerability in License Center

Notes Station 3 の脆弱性

最終更新日：2024年 11月 23日
セキュリティID：QSA-24-36
危険度：重要
CVE識別子:CVE-2024-38643,CVE-2024-38644,CVE-2024-38645,CVE-2024-38646
影響を受ける製品：Notes Station 3 version 3.9.x

Notes Station 3 に影響を及ぼす複数の脆弱性が報告されています。

CVE-2024-38643
重要な機能の認証が欠落している脆弱性につき、これが悪用された場合にリモートの攻撃者からシステムにアクセスされる可能性があります。
CVE-2024-38644
コマンドインジェクションの脆弱性につき、これが悪用された場合にリモートの攻撃者が任意のコマンドを実行できる可能性があります。
CVE-2024-38645
サーバー側リクエストフォージェリ (SSRF) の脆弱性につき、これが悪用された場合にリモートの攻撃者がアプリケーションデータを読み取ることができる可能性があります。
CVE-2024-38646
重要なリソースに対する不正な権限割当ての脆弱性により、管理者アクセス権を取得したローカルの攻撃者がデータに不正にアクセスできる可能性があります。

ステータス：解決済み
対策手段：対象となるNotes Station3を利用している場合には、下記の修正/対策済みバージョン、或いはそれ以降の最新版へアップデートしてください。

アップデート対象バージョン	修正済みバージョン
Notes Station 3 version 3.9.x	Notes Station 3 version 3.9.7以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Multiple Vulnerabilities in Notes Station 3

QNAP AI Core の脆弱性

最終更新日：2024年 11月 23日
セキュリティID：QSA-24-40
危険度：重要
CVE識別子:CVE-2024-38647
影響を受ける製品：QNAP AI Core 3.4.x

QNAP AI Coreに機密情報の漏洩の脆弱性が影響していると報告されています。この脆弱性が悪用されると、リモートの攻撃者がシステムのセキュリティを侵害する可能性があります。

ステータス：解決済み
対策手段：対象となるQNAP AI Coreを利用している場合には、下記の修正/対策済みバージョン、或いはそれ以降の最新版へアップデートしてください。

アップデート対象バージョン	修正済みバージョン
QNAP AI Core 3.4.x	QNAP AI Core 3.4.1 以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Vulnerability in QNAP AI Core

QuLog Center に複数の脆弱性

最終更新日：2024年 11月 23日
セキュリティID：QSA-24-46
危険度：重要
CVE識別子:CVE-2024-48862
影響を受ける製品：QuLog Center 1.7.x 及び1.8.x

リンク追跡の脆弱性がQuLog Centerに影響を与えることが報告されています。この脆弱性が悪用されると、リモートの攻撃者がファイルシステムをトラバースして意図しない場所に移動できる可能性があります。

ステータス：解決済み
対策手段：対象となるQuLog Centerを利用している場合には、下記の修正/対策済みバージョン、或いはそれ以降の最新版へアップデートしてください。

アップデート対象バージョン	修正済みバージョン
QuLog Center 1.7.x	QuLog Center 1.7.0.831 (2024/10/15) 以降
QuLog Center 1.8.x	QuLog Center 1.8.0.888 (2024/10/15) 以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Vulnerability in QuLog Center

QTS および QuTS hero に複数の脆弱性

最終更新日：2024年 11月 23日
セキュリティID：QSA-24-43
危険度：重要
CVE識別子:CVE-2024-37041,CVE-2024-37042,CVE-2024-37043,CVE-2024-37044,CVE-2024-37045,CVE-2024-37046,CVE-2024-37047,CVE-2024-37048,CVE-2024-37049,CVE-2024-37050,CVE-2024-50396,CVE-2024-50397,CVE-2024-50398,CVE-2024-50399,CVE-2024-50400
影響を受ける製品：QTS 5.2.x、QuTS hero h5.2.x

特定の QNAPオペレーティングシステムバージョンに影響を及ぼす複数の脆弱性が報告されています。

CVE-2024-37041,CVE-2024-37044,CVE-2024-37047,CVE-2024-37049,CVE-2024-37050
この脆弱性が悪用された場合、管理者権限を持つ遠隔攻撃者によりメモリ書き換えやプロセスクラッシュの危険があります。
CVE-2024-37042,CVE-2024-37045,CVE-2024-37048:
この脆弱性が悪用された場合、管理者権限を持つ遠隔攻撃者によりサービス拒否（DoS）攻撃を起動される危険があります。
CVE-2024-37043,CVE-2024-37046
この脆弱性が悪用された場合、管理者権限を持つ遠隔攻撃者により想定されないファイルやシステムデータを読み出される危険があります。
CVE-2024-50396,CVE-2024-50397,CVE-2024-50398,CVE-2024-50399,CVE-2024-50400,CVE-2024-50401
この脆弱性が悪用された場合、遠隔攻撃者により秘密のデータを取得されたりメモリを書き換えられたりする危険があります。

ステータス：解決済み
対策手段：対象となるOSを利用している場合には、下記の修正/対策済みバージョン、或いはそれ以降の最新版へアップデートしてください。

アップデート対象バージョン	修正済みバージョン
QTS 5.2.x	QTS 5.2.1.2930 build 20241025 以降
QuTS hero h5.2x	QuTS hero h5.2.1.2929 build 20241025 以降

QuRouter の脆弱性2

最終更新日：2024年 11月 23日
セキュリティID：QSA-24-44
危険度：重要
CVE識別子:CVE-2024-48860,CVE-2024-48861
影響を受ける製品：QuRouter 2.4.x

CVE-2024-48860,CVE-2024-48861
コマンドインジェクションの脆弱性が悪用された場合に、リモートの攻撃者が任意のコマンドを実行できる可能性があります。

ステータス：解決済み
対策手段：対象となるQuRouterを利用している場合には、下記の修正/対策済みバージョン、或いはそれ以降の最新版へアップデートしてください。

アップデート対象バージョン	修正済みバージョン
QuRouter 2.4.x	QuRouter 2.4.3.106 以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Multiple Vulnerabilities in QuRouter

QuRouter の脆弱性

最終更新日：2024年 11月 04日
セキュリティID：QSA-24-45
危険度：高
CVE識別子:CVE-2024-50389
影響を受ける製品：QuRouter 2.4.x

CVE-2024-50389
QuRouterに影響を与える脆弱性が報告されています。

ステータス：解決済み
対策手段：対象となるQuRouterを利用している場合には、下記の修正/対策済みバージョン、或いはそれ以降の最新版へアップデートしてください。

アップデート対象バージョン	修正済みバージョン
QuRouter 2.4.x	QuRouter 2.4.5.032 以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Vulnerability in QuRouter (PWN2OWN 2024)

SMB Service の脆弱性

最終更新日：2024年 10月 30日
セキュリティID：QSA-24-42
危険度：高
CVE識別子:CVE-2024-50387
影響を受ける製品：SMB Service 4.15.x, SMB Service h4.15.x

CVE-2024-50387
この脆弱性が悪用された場合、リモートの攻撃者がNASシステムを悪用し、ルートシェルを取得する可能性があります。

ステータス：解決済み
対策手段：対象となるSMB Serviceを利用している場合には、下記の修正/対策済みバージョン、或いはそれ以降の最新版へアップデートしてください。

アップデート対象バージョン	修正済みバージョン
SMB Service 4.15.x	SMB Service 4.15.002 以降
SMB Service h4.15.x	SMB Service h4.15.002 以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Vulnerability in SMB Service (PWN2OWN 2024)

HBS 3 Hybrid Backup Sync の脆弱性

最終更新日：2024年 10月 29日
セキュリティID：QSA-24-41
危険度：高
CVE識別子:CVE-2024-50388
影響を受ける製品：HBS 3 Hybrid Backup Sync 25.1.x

CVE-2024-50388
この脆弱性が悪用された場合、該当デバイス上でリモート攻撃者から任意のコマンドを実行される可能性があります。

ステータス：解決済み
対策手段：対象となるHBS 3 Hybrid Backup Syncを利用している場合には、下記の修正/対策済みバージョン、或いはそれ以降の最新版へアップデートしてください。

アップデート対象バージョン	修正対策済みバージョン	OS
Hybrid Backup Sync 25.1.x	HBS 3 Hybrid Backup Sync 25.1.1.673 以降	QTS 5.2.x, 5.1.x QuTS hero h5.2.x, h5.1.x

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Vulnerability in HBS 3 Hybrid Backup Sync (PWN2OWN 2024)

QTS , QuTS heroの複数の脆弱性

最終更新日：2024年 9月7日
セキュリティID：QSA-24-33
危険度：重要
CVE識別子:CVE-2024-21906/CVE-2024-32763/CVE-2024-38641

影響を受ける製品：QTS 5.1.x, QuTS hero h5.1.x

概要：該当OSに複数の脆弱性が報告されています。

CVE-2024-21906
この脆弱性が悪用された場合、入力サイズがチェックされないバッファコピーの脆弱性により、リモートの攻撃者に悪意のあるコードを実行されるおそれがあります。
CVE-2024-32763
この脆弱性が悪用された場合、OSコマンドインジェクションの脆弱性により、ユーザーアクセスを得たローカルの攻撃者に悪意のあるコマンドを注入されるおそれがあります。
CVE-2024-38641
この脆弱性が悪用された場合、OSコマンドインジェクションの脆弱性により、管理者アクセスを得たリモートの攻撃者に悪意のあるコマンドを注入されるおそれがあります。

ステータス：解決済み

対策手段：対象となるOSの各バージョンを利用している場合には、下記の修正/対策済みバージョンへアップデートしてください。

QTS 5.1.8.2823 build 20240712 またはそれ以降
QuTS hero h5.1.8.2823 build 20240712 またはそれ以降

Video Station の脆弱性

最終更新日：2024年 9月7日
セキュリティID：QSA-24-24
危険度：重要
CVE識別子:CVE-2023-47563/CVE-2023-50360

影響を受ける製品：Video Station 5.x

概要：Video Stationに複数の脆弱性が報告されています。

CVE-2023-47563
この脆弱性が悪用された場合、OSコマンドインジェクションの脆弱性により、リモートの攻撃者にアプリケーションの入力を通じて悪意のあるコマンドを実行されるおそれがあります。
CVE-2023-50360
この脆弱性が悪用された場合、SQLインジェクションの脆弱性により、攻撃者に悪意のあるコードを注入されるおそれがあります。

ステータス：解決済み

対策手段：対象となるVideo Stationを利用している場合には、下記の修正/対策済みバージョンへアップデートしてください。

Video Station 5.8.2 またはそれ以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Vulnerabilities in Video Station

QTS、QuTS hero、および QuTScloud の脆弱性

最終更新日：2024年4月25日
セキュリティID：QSA-24-14
危険度：高
CVE識別子:CVE-2023-51364/CVE-2023-51365

影響を受ける製品：QTS 5.1.x, 4.5.x ; QuTS hero h5.1.x, h4.5.x ; QuTScloud c5.x

概要：該当OSに複数の脆弱性が報告されています。

CVE-2023-51364/CVE-2023-51365
この脆弱性が悪用された場合、パストラバーサル脆弱性により、予期されないファイルが読み出され、重要なデータがネットワーク上にさらされる恐れがあります。

ステータス：解決済み

対策手段：対象となるOSの各バージョンを利用している場合には、下記の修正/対策済みバージョンへアップデートしてください。

QTS 5.1.4.2596 build 20231128 またはそれ以降
QTS 4.5.4.2627 build 20231225 またはそれ以降
QuTS hero h5.1.3.2578 build 20231110 またはそれ以降
QuTS hero h4.5.4.2626 build 20231225 またはそれ以降
QuTScloud c5.x QuTScloud c5.1.5.2651 またはそれ以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Multiple Vulnerabilities in QTS, QuTS hero, and QuTScloud (PWN2OWN 2023)

Media Streamingの脆弱性

最終更新日：2024年4月25日
セキュリティID：QSA-24-15
危険度：高
CVE識別子:CVE-2023-47222

影響を受ける製品：Media Streaming add-on 500.1.x

概要：Media Streaming add-onに、複数の脆弱性が報告されています。

この脆弱性が悪用された場合、認証されたユーザーによりネットワーク経由でコマンドを実行される、悪意あるコードを挿入されるなどのおそれがあります。

ステータス：解決済み

対策手段：対象となるMedia Streaming add-onの各バージョンを利用している場合には、下記の対策済みバージョンへアップデートしてください。

Media Streaming add-on 500.1.1.5 (2024/01/22) またはそれ以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
　尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ：Vulnerability in Media Streaming Add-on

QTS、QuTS hero、QuTScloud、および myQNAPcloud の脆弱性

最終更新日：2024年3月9日
セキュリティID：QSA-24-09
危険度：緊急
CVE識別子:CVE-2024-21899/CVE-2024-21900/CVE-2024-21901

影響を受ける製品：QTS 5.1.x、4.5.x、QuTS hero h5.1.x、h4.5.x、QuTScloud c5.x、myQNAPcloud 1.0.x

概要：該当OSに複数の脆弱性が報告されています。

CVE-2024-21899
この脆弱性が悪用された場合、不適切な認証の脆弱性により、ネットワーク経由でシステムのセキュリティが侵害されるおそれがあります。

CVE-2024-21900
この脆弱性が悪用された場合、インジェクション脆弱性により、認証されたユーザーによりネットワーク経由でコマンドを実行されるおそれがあります。

CVE-2024-21901
この脆弱性が悪用された場合、SQLインジェクション脆弱性により、認証されたユーザーによりネットワーク経由で悪意あるコードを挿入されるおそれがあります。

ステータス：解決済み

対策手段：対象となるOSの各バージョンを利用している場合には、下記の修正/対策済みバージョンへアップデートしてください。

QTS 5.1.x: QTS 5.1.3.2578 build 20231110 またはそれ以降
QTS 4.5.x: QTS 4.5.4.2627 build 20231225 またはそれ以降
QuTS hero h5.1.x: QuTS hero h5.1.3.2578 build 20231110 またはそれ以降
QuTS hero h4.5.x: QuTS hero h4.5.4.2626 build 20231225 またはそれ以降
QuTScloud c5.x: QuTScloud c5.1.5.2651 またはそれ以降
myQNAPcloud 1.0.x: myQNAPcloud 1.0.52 (2023/11/24) またはそれ以降

タグ: アップデート, セキュリティ, ファームウェア, 脆弱性