QNAP ha emitido un nuevo aviso de seguridad que advierte a los usuarios de dos vulnerabilidades que afectan su sistema operativo QTS y que permite que muchos dispositivos NAS utilizados por empresas y consumidores realicen copias de seguridad de sus datos localmente. Las vulnerabilidades, rastreadas como CVE-2020-2490 y CVE-2020-2492, pueden explotarse para permitir que un atacante remoto ejecute comandos arbitrarios en dispositivos NAS que ejecuten versiones de QTS lanzadas antes del 8 de septiembre de este año. En su aviso de seguridad, QNAP no proporciona tantos detalles sobre cómo se pueden explotar estas vulnerabilidades, aunque ambas están clasificadas como vulnerabilidades de inyección de comandos. Este tipo de vulnerabilidades son particularmente peligrosas porque podrían permitir la toma de control total de un dispositivo afectado. Afortunadamente, QNAP ha lanzado parches para abordar ambas vulnerabilidades en QTS 4.4.3.1421 compilación 20200907 y posteriores.