El fabricante de NAS QNAP ha comunicado vulnerabilidades de seguridad en su software de NAS. Ya se ha publicado una actualización para la vulnerabilidad de secuencias de comandos entre sitios en File Station. La vulnerabilidad está catalogada como CVE-2018-19942 y según el fabricante todos los modelos están afectados. Si se explota esta vulnerabilidad, los atacantes remotos pueden inyectar código malicioso. La gravedad de la vulnerabilidad se reporta como Alta. Para asegurar su dispositivo, se recomienda encarecidamente que actualice su sistema a la última versión para aprovechar la corrección de la vulnerabilidad. Las siguientes versiones se consideran seguras:
Una vulnerabilidad en el Twonky Media Server (que también afecta al WD My Cloud OS de Western Digital, entre otros) no está actualmente solucionada. Los responsables del servidor siguen trabajando para solucionar la brecha de seguridad, que también tiene un nivel de gravedad Alto, y QNAP pondrá entonces a disposición el paquete actualizado. Aquellos que no utilizan el servidor no se ven afectados.
Una vulnerabilidad por restricciones de acceso inadecuadas permite a los atacantes remotos acceder a información sensible, como el nombre de usuario y la contraseña del administrador para acceder a la configuración del servidor Twonky. Y: una vulnerabilidad en el cifrado de contraseñas permite a los atacantes remotos descifrar fácilmente las contraseñas. Ambas vulnerabilidades juntas permiten a los atacantes remotos obtener acceso a todo el contenido al que el servidor puede acceder.