2026年5月12日星期二

QNAP NAS 權限提升漏洞

QNAP NAS 權限提升漏洞

發佈日期: 2026年05月12日

風險: 中度風險

類型: 伺服器 - 其他伺服器

於 QNAP NAS 發現一個漏洞。本地攻擊者可利用這個漏洞,於目標系統觸發權限提升。

 

注意:

CVE-2026-43284 正被利用作零星攻擊。一項稱為 「Dirty Frag」 的本機權限提升漏洞,會影響 Linux 核心。如果被利用,此漏洞可能允許已通過身份驗證、擁有一般權限的本機使用者繞過安全限制,並取得更高的系統(root)權限。

 

受影響之系統或技術暫無可修補 CVE-2026-43284 的修補程式。

影響

  • 權限提升

受影響之系統或技術

  • 全部 QNAP ARM64-based NAS 型號
  • 全部 QNAP x86-based NAS 型號
  • 全部 QuTS hero NAS 型號
  • 全部 QuTScloud NAS 實例

解決方案

臨時處理方法:

從以下臨時處理方法以減輕攻擊:

 

  1. 限制 Shell 存取:撤銷所有非管理員帳戶的 SSH 或 Telnet 終端存取權限。

  2. 容器安全:僅於 Container Station 部署受信任的映像檔,並避免以「特權」模式執行容器。

  3. 最小化攻擊面:停用未使用的服務(例如 Web Server),並移除非必要的第三方應用程式。

  4. 網絡隔離:確保 NAS 不直接暴露於互聯網,並使用 QuFirewall 或 VPN,僅允許受信任的內部網絡存取。

請瀏覽供應商之網站,以獲得更多詳細資料。

 

應用供應商提供的臨時處理方法:

 

 

 

    漏洞識別碼

    資料來源

    相關連結

    沒有留言:

    QNAP NAS Elevation of Privilege Vulnerability

    QNAP NAS Elevation of Privilege Vulnerability

    Release Date: 12 May 2026

    RISK: Medium Risk

    TYPE: Servers - Other Servers

    A vulnerability was identified in QNAP NAS. A local attacker can exploit this vulnerability to trigger elevation of privilege on the targeted system.

     

    Note: 

    CVE-2026-43284 is being scattered exploited. A local privilege escalation vulnerability, commonly known as "Dirty Frag", has been reported to affect the Linux kernel. If exploited, this vulnerability could allow an authenticated local user with standard privileges to bypass security restrictions and gain elevated system (root) permissions.

     

    No patch is currently available for CVE-2026-43284 of the affected products.

    Impact

    • Elevation of Privilege

    System / Technologies affected

    • All QNAP ARM64-based NAS models
    • All QNAP x86-based NAS models
    • All QuTS hero NAS models
    • All QuTScloud NAS instances

    Solutions

    Workaround:

    Mitigate the vulnerability of attacks by following workaround:

     

    1. Restrict Shell Access: Revoke SSH or Telnet terminal permissions for all non-administrator accounts.
    2. Container Security: Deploy only trusted images within Container Station and avoid running containers with "Privileged" mode enabled.
    3. Minimize Attack Surface: Disable unused services, such as the Web Server, and uninstall non-essential third-party applications.
    4. Network Isolation: Ensure your NAS is not directly exposed to the internet. Utilize QuFirewall or a VPN to restrict access to trusted internal networks only.

    Please visit the vendor web-site for more details.

     

    Apply workarounds issued by the vendor:

     

     

     

      Vulnerability Identifier

      Source

      Related Link

      沒有留言:

      2026年5月11日星期一

      三星產品多個漏洞

      三星產品多個漏洞

      發佈日期: 2026年05月11日

      風險: 中度風險

      類型: 操作系統 - 流動裝置及操作系統

      於三星產品發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發阻斷服務狀況、權限提升、繞過保安限制、敏感資料洩露、遠端執行任意程式碼及資料篡改。

      影響

      • 權限提升
      • 遠端執行程式碼
      • 權限提升
      • 繞過保安限制
      • 資料洩露
      • 阻斷服務

      受影響之系統或技術

      • Android Watch 14, 16
      • 運行 Android  14, 15, 16 的三星產品
      • Exynos 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 1580, 2500, 9110, W920, W930, W1000, Modem 5123, Modem 5300, Modem 5400

      有關受影響產品,請參閱以下連結:

      解決方案

      在安裝軟件之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

       

      安裝軟件供應商提供的修補程式:

      漏洞識別碼

      資料來源

      相關連結

      沒有留言:

      Samsung Products Multiple Vulnerabilities

      Samsung Products Multiple Vulnerabilities

      Release Date: 11 May 2026

      RISK: Medium Risk

      TYPE: Operating Systems - Mobile & Apps

      Multiple vulnerabilities were identified in Samsung Products. A remote attacker could exploit some of these vulnerabilities to trigger denial of service condition, elevation of privilege, security restriction bypass, sensitive information disclosure,  remote code execution and data manipulation on the targeted system.

      Impact

      • Elevation of Privilege
      • Remote Code Execution
      • Elevation of Privilege
      • Security Restriction Bypass
      • Information Disclosure
      • Denial of Service

      System / Technologies affected

      • Android Watch 14, 16
      • Samsung mobile devices running Android 14, 15, 16
      • Exynos 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 1580, 2500, 9110, W920, W930, W1000, Modem 5123, Modem 5300, Modem 5400

      For affected products, please refer to the link below:

      Solutions

      Before installation of the software, please visit the vendor website for more details.

       

      Apply fixes issued by the vendor:

      Vulnerability Identifier

      Source

      Related Link

      沒有留言:

      Mozilla 產品多個漏洞

      Mozilla 產品多個漏洞

      發佈日期: 2026年05月11日

      風險: 中度風險

      類型: 用戶端 - 瀏覽器

      於 Mozilla 產品發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發阻斷服務狀況及遠端執行任意程式碼。

      影響

      • 阻斷服務
      • 遠端執行程式碼

      受影響之系統或技術

      以下版本之前的版本﹕

       

      • Firefox 150.0.2
      • Firefox ESR 115.35.2
      • Firefox ESR 140.10.2
      • Thunderbird 140.10.2
      • Thunderbird 150.0.2

      解決方案

      在安裝軟體之前,請先瀏覽供應商之官方網站,以獲得更多詳細資料。

      更新至版本:

       

      • Firefox 150.0.2
      • Firefox ESR 115.35.2
      • Firefox ESR 140.10.2
      • Thunderbird 140.10.2
      • Thunderbird 150.0.2

      漏洞識別碼

      資料來源

      相關連結

      沒有留言:

      Mozilla Products Multiple Vulnerabilities

      Mozilla Products Multiple Vulnerabilities

      Release Date: 11 May 2026

      RISK: Medium Risk

      TYPE: Clients - Browsers

      Multiple vulnerabilities were identified in Mozilla Products. A remote attacker could exploit some of these vulnerabilities to trigger denial of service condition and remote code execution on the targeted system.

      Impact

      • Denial of Service
      • Remote Code Execution

      System / Technologies affected

      Versions prior to:

       

      • Firefox 150.0.2
      • Firefox ESR 115.35.2
      • Firefox ESR 140.10.2
      • Thunderbird 140.10.2
      • Thunderbird 150.0.2

      Solutions

      Before installation of the software, please visit the vendor web-site for more details.

      Apply fixes issued by the vendor:

       

      • Firefox 150.0.2
      • Firefox ESR 115.35.2
      • Firefox ESR 140.10.2
      • Thunderbird 140.10.2
      • Thunderbird 150.0.2

      Vulnerability Identifier

      Source

      Related Link

      沒有留言:

      Ubuntu Linux 核心多個漏洞

      Ubuntu Linux 核心多個漏洞

      發佈日期: 2026年05月11日

      風險: 中度風險

      類型: 操作系統 - LINUX

      於 Ubuntu Linux 核心發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發洩露敏感資料、阻斷服務狀況、遠端執行任意程式碼、繞過保安限制及權限提升。

      影響

      • 阻斷服務
      • 遠端執行程式碼
      • 權限提升
      • 繞過保安限制
      • 資料洩露

      受影響之系統或技術

      • Ubuntu 14.04 LTS
      • Ubuntu 16.04 LTS
      • Ubuntu 18.04 LTS
      • Ubuntu 20.04 LTS
      • Ubuntu 22.04 LTS
      • Ubuntu 24.04 LTS
      • Ubuntu 25.10

      解決方案

      在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

       

      安裝供應商提供的修補程式:

      漏洞識別碼

      資料來源

      相關連結

      沒有留言:
      訂閱: 文章 (Atom)

      QNAP NAS 權限提升漏洞

      QNAP NAS 權限提升漏洞 發佈日期: 2026年05月12日 風險: 中度風險 類型: 伺服器 - 其他伺服器 於 QNAP NAS 發現一個漏洞。本地攻擊者可利用這個漏洞,於目標系統觸發權限提升。   注意: CVE-2026-43284 正被利用作零星攻擊。一項稱為 「...