CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 0CVE-2017-13070
https://notcve.org/view.php?id=CVE-2017-13070
A DLL Hijacking vulnerability in QNAP Qsync for Windows (exe) version 4.2.2.0724 and earlier could allow remote attackers to execute arbitrary code on Windows machines. Una vulnerabilidad de secuestro de DLL en QNAP Qsync para Windows (exe) en su versión 4.2.2.0724 y anteriores podría permitir que atacantes remotos ejecuten código arbitrario en máquinas de Windows. • https://www.qnap.com/zh-tw/security-advisory/nas-201712-08 • CWE-426: Untrusted Search Path •
CVSS: 9.8EPSS: 0%CPEs: 4EXPL: 0CVE-2017-13071
https://notcve.org/view.php?id=CVE-2017-13071
QNAP has already patched this vulnerability. This security concern allows a remote attacker to run arbitrary commands on the QNAP Video Station 5.1.3 (for QTS 4.3.3), 5.2.0 (for QTS 4.3.4), and earlier. QNAP ya ha parcheado esta vulnerabilidad. Este problema de seguridad permite que un atacante remoto ejecute comandos arbitrarios en QNAP Video Station 5.1.3 (para QTS 4.3.3), 5.2.0 (para QTS 4.3.4) y anteriores. • https://www.qnap.com/zh-tw/security-advisory/nas-201711-21 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2017-13069
https://notcve.org/view.php?id=CVE-2017-13069
QNAP discovered a number of command injection vulnerabilities found in Music Station versions 4.8.6 (for QTS 4.2.x), 5.0.7 (for QTS 4.3.x), and earlier. If exploited, these vulnerabilities may allow a remote attacker to run arbitrary commands on the NAS. QNAP ha descubierto una serie de vulnerabilidades de inyección de comandos en Music Station en las versiones 4.8.6 (para QTS 4.2.x), 5.0.7 (para QTS 4.3.x) y anteriores. Si se explotan, estas vulnerabilidades podrían permitir que un atacante remoto ejecute comandos arbitrarios en el NAS. • https://www.qnap.com/en/security-advisory/nas-201710-05 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2017-13068 – QNAP HelpDesk < 1.1.12 - SQL Injection
https://notcve.org/view.php?id=CVE-2017-13068
QNAP has already patched this vulnerability. This security concern allows a remote attacker to perform an SQL injection on the application and obtain Helpdesk application information. A remote attacker does not require any privileges to successfully execute this attack. QNAP ya ha parcheado esta vulnerabilidad. Este problema de seguridad permite que un atacante remoto realice una inyección SQL en la aplicación y obtenga información sobre la aplicación Helpdesk. • https://www.exploit-db.com/exploits/44060 https://www.qnap.com/en/security-advisory/nas-201709-29 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2017-10700
https://notcve.org/view.php?id=CVE-2017-10700
In the medialibrary component in QNAP NAS 4.3.3.0229, an un-authenticated, remote attacker can execute arbitrary system commands as the root user of the NAS application. En el componente medialibrary en QNAP NAS 4.3.3.0229, un atacante remoto sin autenticar puede ejecutar comandos arbitrarios del sistema como el usuario root de la aplicación NAS. • https://www.lateralsecurity.com/downloads/Lateral_Security-Advisory-QNAP_QTS_CVE-2017-10700.pdf https://www.qnap.com/en/support/con_show.php?cid=128 • CWE-20: Improper Input Validation •