[TLP:CLEAR] QNAP opravuje 46 zranitelností
QNAP opravuje 46 zranitelností v různých produktech, z nichž nejzávažnější jsou popsány níže. Zbylé naleznete na [1] po rozkliknutí jednotlivých varování. Produkty a jejich opravené verze: NetBak Replicator - 4.5.15.0807 [2] Qsync Central - Qsync Central 5.0.0.2 [3], 5.0.0.1 [4] Video Station - 5.8.4 [5] QNAP Authenticator - 1.3.1.1227 [6] QTS - 5.2.6.3195 build 20250715 [7] QuTS hero - h5.2.6.3195 build 20250715 [7]
Autentizovanému lokálnímu útočníkovi je kvůli nezabezpečené cestě k souboru nebo její části v NetBak Replicator po získání uživatelského účtu umožněno neoprávněně vykonávat příkazy nebo spustit kód [2].
Zranitelnost se nachází v produktu NetBak Replicator ve verzích >=4.5.0 AND <4.5.15.0807.
CVSS: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2025-57714 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-428: Unquoted Search Path or Element at cwe.mitre.org
Zranitelnost byla veřejně oznámena 4. 10. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli přidělování prostředků bez omezení v Qsync Central umožněno vykonat DoS útok [3].
Zranitelnost se nachází v produktu Qsync Central ve verzích >=5.0.0 AND <5.0.0.2.
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2025-44012 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zranitelnost byla veřejně oznámena 4. 10. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu SQL injection v Qsync Central po získání uživatelského účtu umožněno neoprávněně vykonávat příkazy nebo spustit kód [3].
Zranitelnost se nachází v produktu Qsync Central ve verzích >=5.0.0 AND <5.0.0.2.
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
Více informací:
- CVE-2025-53595 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-54153 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 4. 10. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli zápisu mimo vyhrazenou paměť v Qsync Central umožněno upravit nebo poškodit paměť [4].
Zranitelnost se nachází v produktu Qsync Central ve verzích >=4.0 AND <5.0.0.1.
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2025-44014 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zranitelnost byla veřejně oznámena 4. 10. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu path traversal v QTS a QuTS hero umožněno čtení obsahu nepovolených souborů nebo systémových dat [7].
Zranitelnost se nachází v produktech:
- QTS ve verzích >=5.2.0 AND <5.2.6.3195 build 20250715
- QuTS hero ve verzích >=h5.2.0 AND <h5.2.6.3195 build 20250715
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Více informací:
- CVE-2025-47211 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 4. 10. 2025.
Odkazy
- [1] https://www.qnap.com/en/security-advisories
- [2] https://www.qnap.com/en/security-advisory/qsa-25-39
- [3] https://www.qnap.com/en/security-advisory/qsa-25-35
- [4] https://www.qnap.com/en/security-advisory/qsa-25-34
- [5] https://www.qnap.com/en/security-advisory/qsa-25-32
- [6] https://www.qnap.com/en/security-advisory/qsa-25-30
- [7] https://www.qnap.com/en/security-advisory/qsa-25-36
Za CESNET-CERTS Michaela Jarošová dne 7. 10. 2025.
