Goby漏洞更新 | QNAP-NAS authLogin.cgi 文件 app_token 参数代码执行漏洞（CVE-2022-27596）

漏洞名称：QNAP-NAS authLogin.cgi 文件 app_token 参数代码执行漏洞（CVE-2022-27596）

English Name：QNAP-NAS authLogin.cgi app_token RCE Vulnerability (CVE-2022-27596)

CVSS core: 9.0

影响资产数：2262781

漏洞描述：

QNAP Systems QTS 是中国威联通科技（QNAP Systems）公司的一个入门到中阶QNAP NAS 使用的操作系统。QNAP Systems QTS存在安全漏洞，该漏洞源于运行QuTS hero和QTS的设备允许远程攻击者在app_token参数字段注入恶意代码获取服务器权限。

漏洞影响：

QNAP Systems QTS存在安全漏洞，该漏洞源于运行QuTS hero和QTS的设备允许远程攻击者在app_token参数字段注入恶意代码获取服务器权限。

FOFA查询语句（点击直接查看结果）：

(((header=“http server” && body=“redirect_suffix”) || body=“/css/qnap-default.css” || body=“/redirect.html?count=\”+Math.random()" || body=“/indexnas.cgi?counter=”) && body!=“Server: couchdb”) || (body=“qnap_hyperlink” && body=“QNAP Systems, Inc. All Rights Reserved.”)

此漏洞已可在Goby漏扫/红队版进行扫描验证

免费获取Goby：Goby社区版免费下载

查看Goby更多漏洞：Goby历史漏洞合集

关注Goby公众号获取最新动态：Gobysec