CVE-2024-27130是影响QNAP网络附加存储(NAS)设备的一个严重漏洞。该漏洞源于QTS操作系统中share.cgi脚本的No_Support_ACL函数中不安全地使用strcpy函数,导致堆栈缓冲区溢出。攻击者可以利用此漏洞,通过精心构造的请求在目标系统上执行任意代码,进而完全控制受影响的设备。
该漏洞的危害主要体现在以下方面:
-
远程代码执行(RCE):未经身份验证的攻击者可通过网络远程执行任意代码,导致系统被完全控制。
-
数据泄露和篡改:攻击者可能访问、修改或删除存储在NAS设备上的敏感数据。
-
服务中断:恶意操作可能导致设备服务中断,影响业务连续性。
QNAP已在QTS 5.1.7.2770 build 20240520及之后的版本中修复了此漏洞。建议用户尽快更新系统,以防范潜在风险。