TerraMaster TOS 漏洞列表

TerraMaster TOS before 4.1.29 has Invalid Parameter Checking that leads to code injection as root. This is a dynamic class method invocation vulnerability in include/exportUser.php, in which an attacker can trigger a call to the exec method with (for example) OS commands in the opt parameter.

TerraMaster TOS 存在用户枚举漏洞，通过wizard/initialise.php页面的username参数即可枚举系统中的用户，以及泄露邮箱信息 fofa: "TerraMaster" && header="TOS"

TerraMaster TOS <= 4.2.06中的多个目录遍历漏洞允许远程身份验证的攻击者通过/tos/index.php?editor/fileGet路径下的filename参数、 /include/ajax/logtable.php路径下的Event参数和/include/core/index.php路径下的opt参数，读取文件系统中的任何文件。 TerraMaster TOS < 4.2.06 FOFA: "TerraMaster" && header="TOS"

TerraMaster TOS 存在信息泄漏漏洞，攻击者通过漏洞可以获取服务器上的敏感信息，配合 CVE-2022-24989漏洞可以获取服务器权限 TerraMaster TOS < 4.2.31 FOFA: "TerraMaster" && header="TOS"

TerraMaster TOS before 4.1.29 has invalid parameter checking that leads to code injection as root. This is a dynamic class method invocation vulnerability in include/exportUser.php, in which an attacker can trigger a call to the exec method with (for example) OS commands in the opt parameter.

User Enumeration vulnerability in TerraMaster TOS <= 4.2.06 allows remote unauthenticated attackers to identify valid users within the system via the username parameter to wizard/initialise.php.

TerraMaster TOS <= 4.2.06 is susceptible to a remote code execution vulnerability which could allow remote unauthenticated attackers to inject OS commands via /include/makecvs.php via the Event parameter.

TerraMaster NAS devices running TOS prior to version 4.2.30 are vulnerable to information disclosure.

TerramasterTOS是中国深圳市图美电子技术（Terramaster）公司的一款基于Linux平台的，专用于erraMaster云存储NAS服务器的操作系统。TerraMasterTOS <= 4.2.06 中存在一个用户枚举漏洞，使得远程未经身份验证的攻击者能够通过 wizard/initialise.php的USERNAME参数识别系统内的有效用户。

TerraMaster，铁威马是知名专业存储品牌，专注于为全球用户提供专业的私有云存储设备，包括高效能、安全可靠、多功能以及环保的NAS网络储存服务器和DAS直连式存储。Terramaster4.1.x版本 版本存在远程代码执行漏洞，允许攻击者通过会话制作从未经身份验证到 root 的利用链。

TerraMaster TOS存在信息泄露漏洞，此漏洞是缺乏校验导致的。

TerraMaster TOS存在信息泄露漏洞，此漏洞是缺乏校验导致的。

TerraMaster TOS存在远程代码执行漏洞。此漏洞是由于验证不正确导致的。

TerraMaster TOS存在远程代码执行漏洞。此漏洞是由于验证不正确导致的。

TerraMaster TOS存在远程代码执行漏洞。此漏洞是由于验证不正确导致的。

TerraMaster，铁威马是知名专业存储品牌，专注于为全球用户提供专业的私有云存储设备，包括高效能、安全可靠、多功能以及环保的NAS网络储存服务器和DAS直连式存储。TerramasterF4-210/F2-210 4.x 版本存在远程代码执行漏洞，允许攻击者通过会话制作从未经身份验证到 root 的利用链。

TerramasterTOS是中国深圳市图美电子技术（Terramaster）公司的一款基于Linux平台的，专用于erraMaster云存储NAS服务器的操作系统。Terramaster TOS 某些版本中存在严重的信息泄露漏洞，通过“ webNasIPS”函数获取敏感信息，可导致 TOS 固件版本、默认网关接口的 IP和 MAC 地址以及管理员密码泄露。 影响版本：TOS 4.2.x < 4.2.30 TOS 4.1.x

TerraMaster，铁威马是知名专业存储品牌，专注于为全球用户提供专业的私有云存储设备，包括高效能、安全可靠、多功能以及环保的NAS网络储存服务器和DAS直连式存储。TerramasterF4-210/F2-210 4.x 版本存在远程代码执行漏洞，允许攻击者通过会话制作从未经身份验证到 root 的利用链。

TerramasterTOS是中国深圳市图美电子技术（Terramaster）公司的一款基于Linux平台的，专用于erraMaster云存储NAS服务器的操作系统，TerraMasterTOS存在任意文件读取，攻击者可以通过该漏洞读取任意文件，获取大量敏感信息

TerraMaster TOS 4.1.29具有无效的参数检查，攻击者可以使用opt参数中的OS命令（例如）触发对exec方法的调用。

TerraMaster铁威马是一个专业的国际存储品牌，专注于为全球用户提供专业的私有云存储设备，包括高效能、安全可靠、多功能以及环保的NAS网络云储存服务器和DAS直连式存储装置。其中TerraMasterTOS<=4.2.06存在未授权Rce漏洞，攻击者可通过创建webshell获取系统权限。目前厂商已经发布了4.2.07升级补丁以修复此安全问题，补丁获取链接：https://www.terra-master.com/cn/tos/

【漏洞对象】TerraMaster TOS 【涉及版本】TerraMaster TOS 3.0.33 【漏洞描述】 TerraMaster TOS3.0.33中发现未经身份验证的远程命令执行。TOS是为TerraMaster云存储NAS服务器开发的基于Linux平台的操作系统。TOS3是新推出的第三代操作系统。

An unauthenticated command-execution vulnerability exists in TerraMaster TOS through 4.2.06 via shell metacharacters in the Event parameter in include/makecvs.php during CSV creation.

Remote Command Execution (RCE) vulnerability in TerraMaster TOS <= 4.2.06 allow remote unauthenticated attackers to inject OS commands via /include/makecvs.php in Event parameter.