Goby 漏洞发布｜ QNAP NAS authLogin.cgi 命令执行漏洞（CVE-2017-6361）

漏洞名称：QNAP NAS authLogin.cgi 命令执行漏洞（CVE-2017-6361）

English Name：QNAP NAS authLogin.cgi command execution vulnerability (CVE-2017-6361)

CVSS core: 9.8

影响资产数： 2637547

漏洞描述：

QNAP NAS（网络附加存储）是一种专为存储、恢复和管理数据而设计的设备。QNAP 提供了许多不同的 NAS 模型，适合家庭、小型办公室和大型企业。QNAP NAS 可通过网络与多个设备共享数据，提供数据备份、文件同步、远程访问等功能。QNAP NAS还支持第三方应用程序，为用户提供更多的功能和服务。攻击者可通过未授权接口发送 shell 元字符利用该漏洞执行任意命令，写入后门，获取服务器权限，进而控制整个 web 服务器。

FOFA查询语句（点击直接查看结果）：

app=“QNAP-NAS”

此漏洞已可在Goby漏扫/红队版进行扫描验证

下载Goby：Goby社区版下载

查看Goby更多漏洞：Goby历史漏洞合集

关注Goby公众号获取最新动态：Gobysec