2 月 1 日消息，NAS 廠商威聯(lián)通（QNAP）近日發(fā)布安全公告，表示 QTS 5.0.1 和 QuTS hero h5.0.1 兩款軟件存在嚴重漏洞 CVE-2022-27596，允許攻擊者在固件中植入惡意代碼。

該漏洞在 CVSS v3 評分為 9.8（最高分為 10 分），因此IT之家推薦使用上述兩款軟件的網(wǎng)友盡快升級。

QNAP 尚未透露有關(guān)該漏洞的任何進一步細節(jié)。根據(jù) Bleeping Computer 報道，漏洞 CVE-2022-27596 被歸類為“SQL 命令中不當使用特殊元素”（SQL 注入）。

運行以下軟件版本的設(shè)備會受到影響：

• QTS 5.x
• QuTS hero h5.x

威聯(lián)通已經(jīng)修復(fù)了上述漏洞，推薦用戶升級到：

• QTS 5.0.1.2234 build 20221201 及更高版本
• QuTS hero h5.0.1.2248 build 20221215 及更高版本

Bleeping Computer 在報告中指出，至少超過 29000 臺設(shè)備受到影響。Censys 安全研究人員的一份報告進一步指出，在網(wǎng)上發(fā)現(xiàn)的 60000 多臺 QNAP NAS 設(shè)備中，只有大約 550 臺打了補丁。