內容說明：

研究人員發現多種QNAP NAS設備作業系統存在資訊洩漏之安全漏洞(CVE-2022-27597與CVE-2022-27598)，可使通過身分鑑別之遠端攻擊者，透過越界讀取(Out-of-bounds Read)方式取得記憶體中的機敏資訊。QNAP已釋出QTS與QuTS hero更新修補程式，QuTScloud與QVP(QVR Pro appliances)刻正積極修復中，後續更新消息請參考官網。

影響平台：

下列QNAP NAS系列作業系統：
QTS 5.0.1.2346 build 20230322(不含)以下版本
QuTS hero h5.0.1.2348 build 20230324(不含)以下版本
QuTScloud c5.0.1.2148 build 20220905(含)以下版本
QVP(QVR Pro appliances) 2.3.0.0361 build 20221227(含)以下版本

處置建議：

一、目前QNAP官方已針對部分產品釋出更新程式，更新產品與版本如下：
1.QTS 5.0.1.2346 build 20230322(含)以上版本
2.QuTS hero h5.0.1.2348 build 20230324(含)以上版本
二、更新方式可參考以下官網，尚未修補之產品亦可參考該官網，等候更新消息釋出
https://www.qnap.com/en/security-advisory/qsa-23-06

參考資料：

1.https://www.darkreading.com/vulnerabilities-threats/qnap-zero-days-80k-devices-vulnerable-cyberattack
2.https://sternumiot.com/iot-blog/qnap-ts-230-nas-vulnerability/
3.https://www.qnap.com/en/security-advisory/qsa-23-06
4.https://nvd.nist.gov/vuln/detail/CVE-2022-27597
5.https://nvd.nist.gov/vuln/detail/CVE-2022-27598
6.https://www.qnap.com/en/release-notes/qutscloud/c5.0.1.2148/20220905
7.https://www.qnap.com/en/release-notes/qvp/2.3.0.0361/20221227