NAS-systemen van fabrikant QNAP zijn door verschillende kwetsbaarheden in Music Station op afstand over te nemen, zo waarschuwt het bedrijf in een advisory. Music Station laat gebruikers een "personal music center" in de cloud aanmaken. Via de webapplicatie kunnen gebruikers naar muziekbestanden op hun NAS-systeem luisteren of muziekcollecties met vrienden en familie delen.

De software bevat drie kwetsbaarheden, CVE-2018-19950, CVE-2018-19951 en CVE-2018-19952, die verschillende aanvallen mogelijk maken. Het gaat om command injection, cross-site scripting en SQL-injection waardoor het mogelijk is voor aanvallers om op afstand willekeurige commando's op het NAS-systeem uit te voeren, kwaadaardige code te injecteren en informatie over het systeem te achterhalen.

De impact van de kwetsbaarheden is door QNAP als "high" bestempeld. De beveiligingslekken zijn verholpen in QTS 4.3.3: Music Station 5.1.13, QTS 4.3.4: Music Station 5.1.13, QTS 4.3.6: Music Station 5.2.9 en QTS 4.4.3: Music Station 5.3.11 en nieuwere versies.

Naast de kwetsbaarheden in Music Station zijn er ook drie cross-site scripting-lekken in Photo Station verholpen. Via deze beveiligingslekken had een aanvaller op afstand kwaadaardige code kunnen injecteren, aldus de uitleg van QNAP. Deze kwetsbaarheden zijn gepatcht in QTS 4.3.6: Photo Station 5.7.11 en QTS 4.4.3: Photo Station 6.0.10 en nieuwere versies. Gebruikers wordt aangeraden naar de nieuwste versie van de software te updaten.

Details over hoe een aanvaller misbruik van de kwetsbaarheden zou kunnen maken worden niet door QNAP gegeven.Eerder dit jaar bleek dat QNAP-systemen door kwetsbaarheden in Photo Station op afstand waren over te nemen als ze via het internet toegankelijk waren en Photo Station hadden ingeschakeld.