Elles portent les références CVE-2020-2509 et CVE-2021-36195, comme l'indique Threat Post. Les chercheurs les ont signalées au fabricant en octobre et novembre dernier, mais elles n’ont visiblement toujours pas été bouchées sur tous les modèles concernés.

Elles permettent de prendre possession d’un NAS à distance (via le Web Server et/ou le DNLA Server), avec tous les ravages que cela peut entraîner. Quelques détails techniques sont donnés par ici.

Les NAS avec QTS en version 4.5 ont droit à une mise à jour (pensez à vérifier que la dernière mouture est bien installée sur votre machine), mais pas encore les anciens modèles comme le TS-231.

Devant la dangerosité des failles, QNAP précise qu’il proposera un correctif dans les prochaines semaines, sans plus de précisions.