改天另一个漏洞。这次我们与网络附加存储硬件提供商 QNAP 打交道。有趣的是，这个特殊的漏洞并不完全是 QNAP 的错。这是PHP。

是的，在低于 7.1.33 的 PHP 版本 7.1.x、低于 7.2.24 的 7.2.x 和低于 7.3.11 的 7.3.x 中发现了一个漏洞。特别是与不正确的 nginx 配置结合使用时。Nginx 是一种 Web 服务器软件，可以为 QNAP NAS 设备运行 Web 面板功能，PHP是一种服务器端脚本和编程语言，允许执行代码，通常有限制。

要实际利用此漏洞，具体配置需要运行 nginx 和 php-fpm。PHP-FPM 是一种名为 FastCGI Process Manager 的 PHP 部署方法，它允许 PHP 比通过某些其他库更有效地运行。最终，虽然 nginx 不是安装在 QNAP 受影响操作系统上的默认 Web 服务器，但这并不意味着无论如何都无法安装 nginx。以下是受影响的 QNAP 操作系统版本。

QTS 5.0.x

QTS 4.5.x

QuTS 英雄 h5.0.x

QuTS 英雄 h4.5.x

QuTScloud c5.0.x

迅捷中间件

QNAP已经发布了针对 QTS 5.0.x 和 QuTS hero h5.0.x 的修复程序，但仍在努力将补丁程序推送到其他版本。目前已打补丁的安全版本是 QTS 5.0.1.2034 build 20220515 及更高版本，或 QuTS hero h5.0.0.2069 build 20220614 及更高版本。

检查设备上的新固件非常简单。

以管理员身份登录设备的操作系统

进入控制面板 > 系统 > 固件更新

在实时更新下，单击检查更新。