[TLP:CLEAR] QNAP opravuje 42 zranitelností
QNAP opravuje 42 zranitelností v různých produktech, z nichž nejzávažnější jsou popsány níže. Zbylé naleznete na [1] po rozkliknutí jednotlivých varování. Produkty a jejich opravené verze: File Station 5 - 5.5.6.4907 [2][3] HybridDesk Station - 4.2.18 [4] Legacy VioStor NVR - QVR 5.1.6 build 20250621 [5] License Centre - 1.9.51, 1.8.51 [6] Photo Station - 6.4.5 (2025/01/02) [7] Qsync Central - 4.5.0.7 (2025/04/23) [8] QTS - 5.2.5.3145 build 20250526 [9][10] QuRouter - 2.5.1.060 [11] QuTS hero - h5.2.5.3138 build 20250519 [9][10]
Neautentizovanému vzdálenému útočníkovi je kvůli chybě v autentizaci ve firmwaru QVR pro Legacy VioStor NVR umožněno kompromitovat zabezpečení systému [12].
Zranitelnost se nachází v produktu Legacy VioStor NVR QVR ve verzích >=5.1.0 AND <5.1.6 build 20250621.
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2025-52856 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-287: Improper Authentication at cwe.mitre.org
Zranitelnost byla veřejně oznámena 29. 8. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci certifikátů v Qsync Central po získání uživatelského účtu umožněno kompromitovat zabezpečení systému [13].
Zranitelnost se nachází v produktu Qsync Central ve verzích >=4.5.0 AND <4.5.0.7.
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H
Více informací:
- CVE-2025-30277 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-30278 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-295: Improper Certificate Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 29. 8. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli neošetřenému vstupu v QTS a QuTS hero po získání uživatelského účtu umožněno vykonávat libovolné příkazy [14].
Zranitelnost se nachází v produktech:
- QTS ve verzích >=5.2.0 AND <5.2.5.3145 build 20250526
- QuTS hero ve verzích >=h5.2.0 AND <h5.2.5.3138 build 20250519
CVSS: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2025-30264 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 29. 8. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu SQL injection v Qsync Central po získání uživatelského účtu umožněno neoprávněně vykonávat příkazy nebo spustit kód [13].
Zranitelnost se nachází v produktu Qsync Central ve verzích >=4.5.0 AND <4.5.0.7.
CVSS: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2025-29893 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-29894 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 29. 8. 2025.
Odkazy
- [1] https://www.qnap.com/en/security-advisories
- [2] https://www.qnap.com/go/security-advisory/qsa-25-31
- [3] https://www.qnap.com/go/security-advisory/qsa-25-19
- [4] https://www.qnap.com/go/security-advisory/qsa-25-20
- [5] https://www.qnap.com/go/security-advisory/qsa-25-29
- [6] https://www.qnap.com/go/security-advisory/qsa-25-27
- [7] https://www.qnap.com/go/security-advisory/qsa-25-24
- [8] https://www.qnap.com/go/security-advisory/qsa-25-22
- [9] https://www.qnap.com/go/security-advisory/qsa-25-21
- [10] https://www.qnap.com/go/security-advisory/qsa-25-23
- [11] https://www.qnap.com/go/security-advisory/qsa-25-25
- [12] https://www.qnap.com/en/security-advisory/qsa-25-29
- [13] https://www.qnap.com/en/security-advisory/qsa-25-22
- [14] https://www.qnap.com/en/security-advisory/qsa-25-21
Za CESNET-CERTS Michaela Ručková dne 2. 9. 2025.
