Network Attached Storage (NAS)

Die Schwachstelle steckt in der File-Station-Komponente der NAS-Geräte (Network Attached Storage) von QNAP, also der webbasierten Dateiverwaltung, über die Nutzer ihre auf dem Speicher abgelegten Dateien einsehen und teilen. Es handelt sich um eine Cross-Site-Scripting-Lücke: Ein Angreifer kann schädlichen Code so einschleusen, dass dieser im Browser eines anderen Nutzers ausgeführt wird, wenn dieser die manipulierte Oberfläche aufruft. Der Angriff lässt sich aus der Ferne durchführen. Auf diesem Weg kann fremder Skriptcode im Kontext der Sitzung des Opfers laufen, wodurch sich beispielsweise Aktionen im Namen des angemeldeten Nutzers auslösen oder dargestellte Inhalte verändern lassen. Betroffen sind die NAS-Systeme von QNAP, die in Privathaushalten wie in Unternehmen zur zentralen Datenspeicherung dienen und deren Weboberfläche häufig erreichbar gehalten wird.