QNAP警告客户尽快修补NAS设备中的Linux Sudo漏洞

近日，中国台湾硬件供应商QNAP警告客户保护其Linux驱动的网络连接存储（NAS）设备免受严重性Sudo权限升级漏洞的影响。该漏洞跟踪为CVE-2023-22809，由Synacktiv安全研究人员发现，他们将其描述为“使用sudoedit时Sudo版本1.9.12p1中的sudoers策略绕过”。使用Sudo版本1.8.0至1.9.12p1在未修补的设备上成功利用此漏洞，可使攻击者在将任意条目附加到要处理的文件列表后，通过编辑未经授权的文件来提升权限。