2020年，IHTeam对TOS版本4.2.06进行了安全分析，发现多个漏洞。漏洞类型如下：

TerraMaster TOS多个漏洞描述如下：

CVE-2020-28184

TerraMaster TOS <= 4.2.06中的跨站点脚本（XSS）漏洞允许经过远程身份验证的用户通过mod参数将任意Web脚本或HTML注入/module/index.php页面。

CVE-2020-28185

TerraMaster TOS <= 4.2.06中的用户枚举漏洞允许远程未经身份验证的攻击者通过wizard/initialise.php页面的username参数来枚举和识别系统内的有效用户。

CVE-2020-28186

TerraMaster TOS <= 4.2.06中的电子邮件注入允许未经身份验证的远程攻击者利用忘记密码功能，重置账号密码实现账号接管。

CVE-2020-28187

TerraMaster TOS <= 4.2.06中的多个目录遍历漏洞允许远程身份验证的攻击者通过/tos/index.php?editor/fileGet路径下的filename参数、 /include/ajax/logtable.php路径下的Event参数和/include/core/index.php路径下的opt参数，读取文件系统中的任何文件。

CVE-2020-28188

TerraMaster TOS <= 4.2.06中的远程命令执行漏洞允许未经身份验证的远程攻击者通过/include/makecvs.php的Event参数注入系统命令。

CVE-2020-28190

TerraMaster TOS <= 4.2.06通过不安全的通道（HTTP）检查（系统和应用程序的）更新。中间人攻击者能够拦截这些请求，并替换为恶意的应用程序或更新。

CVE-2020-29189

TerraMaster TOS <= 4.2.06中的错误访问控制漏洞使经过身份验证的远程攻击者可以绕过只读限制，并获得NAS中任何文件夹的完全访问权限。