2 月 1 日消息，NAS 廠商威聯(lián)通（QNAP）近日發(fā)布安全公告，表示 QTS 5.0.1 和 QuTS hero h5.0.1 兩款軟件存在嚴(yán)重漏洞 CVE-2022-27596，允許攻擊者在固件中植入惡意代碼。

該漏洞在 CVSS v3 評(píng)分為 9.8（最高分為 10 分），因此IT之家推薦使用上述兩款軟件的網(wǎng)友盡快升級(jí)。

QNAP 尚未透露有關(guān)該漏洞的任何進(jìn)一步細(xì)節(jié)。根據(jù) Bleeping Computer 報(bào)道，漏洞 CVE-2022-27596 被歸類為“SQL 命令中不當(dāng)使用特殊元素”（SQL 注入）。

運(yùn)行以下軟件版本的設(shè)備會(huì)受到影響：

• QTS 5.x
• QuTS hero h5.x

威聯(lián)通已經(jīng)修復(fù)了上述漏洞，推薦用戶升級(jí)到：

• QTS 5.0.1.2234 build 20221201 及更高版本
• QuTS hero h5.0.1.2248 build 20221215 及更高版本

Bleeping Computer 在報(bào)告中指出，至少超過 29000 臺(tái)設(shè)備受到影響。Censys 安全研究人員的一份報(bào)告進(jìn)一步指出，在網(wǎng)上發(fā)現(xiàn)的 60000 多臺(tái) QNAP NAS 設(shè)備中，只有大約 550 臺(tái)打了補(bǔ)丁。