Photo Station

Die Schwachstelle steckt in Photo Station, einer Anwendung zur Foto-Verwaltung auf NAS-Speichergeräten von QNAP. Es handelt sich um eine fehlerhafte Zugriffskontrolle: Die Anwendung prüft nicht ausreichend, ob ein Zugriff überhaupt berechtigt ist. Dadurch kann ein Angreifer aus der Ferne und ohne gültige Anmeldedaten auf das System zugreifen, ohne die vorgesehenen Schutzmechanismen zu durchlaufen. Auf diesem Weg verschafft er sich unautorisierten Zugang zu Funktionen oder Daten, die ihm eigentlich verwehrt sein sollten. Betroffen sind NAS-Geräte von QNAP, auf denen Photo Station betrieben wird. Da solche Speichergeräte häufig direkt aus dem Internet erreichbar sind, um den Zugriff auf Fotos und Dateien von unterwegs zu ermöglichen, ist die Anwendung ein exponierter Angriffspunkt – und der Angriff erfordert weder eine Anmeldung noch eine Interaktion durch einen Nutzer.