Network Attached Storage (NAS)

Die Schwachstelle steckt in der Komponente File Station, der Dateiverwaltung im Browser, auf Netzwerkspeichern (NAS) von QNAP. Es handelt sich um eine Cross-Site-Scripting-Lücke: Über sie kann ein Angreifer schädlichen Skriptcode einschleusen, der anschließend im Browser des Opfers im Kontext der Verwaltungsoberfläche ausgeführt wird. Da File Station webbasiert ist und der eingeschleuste Code mit den Rechten des angemeldeten Benutzers läuft, kann ein Angreifer dessen Sitzung missbrauchen, Aktionen in dessen Namen ausführen oder an angezeigte Daten gelangen. Der Angriff ist aus der Ferne möglich. Betroffen sind die NAS-Geräte von QNAP, auf denen das Betriebssystem QTS mit der File-Station-Funktion läuft – also Systeme, die häufig zur zentralen Dateiablage im Netzwerk dienen und deren Weboberfläche teils auch über das Internet erreichbar ist.