QNAP 发布安全公告，敦促其 QuRouter 网络设备用户立即更新设备。该公告涉及多个漏洞，包括 CVE-2024-48860 和 CVE-2024-48861，这些漏洞可能允许远程攻击者在易受攻击的设备上执行任意命令。

CVE-2024-48860 是一个严重漏洞，CVSS 得分为 9.5，而 CVE-2024-48861 被评为高度严重漏洞，CVSS 得分为 7.3。

QNAP 警告说： “命令注入漏洞可允许远程攻击者执行任意命令。”

受影响产品：

• QuRouter 2.4.x

解决方案：

QNAP 已发布 QuRouter 2.4.3.106 及更高版本，以解决这些漏洞。强烈建议用户尽快更新其设备。

如何更新：

用户可按照以下步骤更新其 QuRouter 设备：

1. 登录 QuRouter。
2. 转到固件。
3. 选择立即更新。
4. 选择最新。
5. 单击 Apply（应用）。
6. 再次单击 “应用 ”确认。

然后，QuRouter 将下载并安装最新固件。

另外，用户也可以从 QNAP 下载中心下载最新的固件，并通过 QuRouter 中的 “固件 > 手动更新 ”选项进行安装，从而手动更新设备。

除了应用固件更新外，QNAP 用户还应该：

• 定期查看设备日志，查看是否有异常活动。
• 确保使用强大、唯一的密码访问设备。
• 将远程访问限制在受信任的网络。