Photo Station

Die Schwachstelle betrifft Photo Station von QNAP, die Foto-Verwaltungsanwendung auf den Netzwerkspeichergeräten (NAS) des Herstellers. Es handelt sich um einen Path-Traversal-Fehler: Die Anwendung übernimmt von außen kontrollierte Datei- oder Pfadangaben, ohne sie ausreichend zu prüfen. Dadurch kann ein Angreifer den Zugriff aus dem vorgesehenen Verzeichnis ausbrechen lassen und auf Pfade verweisen, die eigentlich gar nicht erreichbar sein sollten. Ausnutzen lässt sich der Fehler aus der Ferne über das Netzwerk. Auf diese Weise kann ein entfernter Angreifer Systemdateien des Geräts auslesen oder verändern. Das kann vertrauliche Informationen offenlegen und – durch das Manipulieren wichtiger Dateien – die Integrität und Funktion des NAS gefährden. Betroffen sind QNAP-Geräte, auf denen Photo Station betrieben wird; besonders exponiert sind solche, deren Foto-Funktion über das Internet erreichbar ist.