Photo Station

Die Schwachstelle betrifft Photo Station von QNAP, eine Anwendung zur Verwaltung und Anzeige von Fotos auf den Netzwerkspeichergeräten des Herstellers. Ursache ist eine unzureichende Kontrolle darüber, welche Datei- oder Pfadangaben die Anwendung verarbeitet: Ein Angreifer kann den Namen oder Pfad einer Datei von außen so beeinflussen, dass die Anwendung auf Dateien außerhalb des vorgesehenen Bereichs zugreift. Auf diese Weise lässt sich der eigentlich abgeschottete Zugriff umgehen und auf Systemdateien des Geräts zugreifen – diese können ausgelesen oder verändert werden. Ausnutzen lässt sich die Lücke aus der Ferne über das Netzwerk. Betroffen sind QNAP-Geräte, auf denen Photo Station läuft. Da solche Netzwerkspeicher häufig direkt aus dem Internet erreichbar sind und Photo Station typischerweise als Webanwendung bereitsteht, ist der Angriffsweg in vielen Installationen unmittelbar offen. Über veränderte Systemdateien kann ein Angreifer das Verhalten des Geräts manipulieren.