[TLP:CLEAR] QNAP opravuje 47 zraniteľností v rôznych produktoch
QNAP opravuje 47 zraniteľností v rôznych produktoch, z ktorých najzávažnejšie sú popísané nižšie. Zvyšné nájdete na [1][2][3][4][5][6][7]. Produkty a ich opravené verzie: Media Streaming add-on - 500.1.1.6 [1] Qsync Central - 5.0.0.4 [2] File Station 5 - 5.5.6.5190 [3] QTS - 5.2.8.3350 build 20251216 [4][5][7] QuTS hero [4][5][6][7] - h5.2.8.3350 build 20251216 - h5.3.2.3354 build 20251225
Neautentizovanému vzdialenému útočníkovi je v operačných systémoch QNAP QTS a QuTS hero v dôsledku chyby pri spracovaní odkazov na súbory umožnené pristupovať k súborom mimo povolených umiestnení [5].
Zraniteľnosť sa nachádza v produktoch:
- QTS vo verziách >=h5.2.0 AND <h5.2.8.3350 build 20251216
- QuTS hero vo verziách (>=h5.2.0 AND <h5.2.8.3350 build 20251216) OR (>=h5.3.0 AND <h5.3.2.3354 build 20251225)
CVSS: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
Viac informácií:
- CVE-2025-66277 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-59: Improper Link Resolution Before File Access ('Link Following') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 2. 2026.
Neautentizovanému vzdialenému útočníkovi je v operačných systémoch QNAP QTS a QuTS hero v dôsledku chyby v komponente Apache HTTP Server pri špecifickej konfigurácii umožnené vyvolať SSRF [4].
Zraniteľnosť sa nachádza v produktoch:
- QTS vo verziách >=5.2.0 AND <5.2.8.3332 build 20251128
- QuTS hero vo verziách (>=h5.2.0 AND <h5.2.8.3321 build 20251117) OR (>=h5.3.0 AND <h5.3.2.3354 build 20251225)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Viac informácií:
- CVE-2024-43204 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 2. 2026.
Autentizovanému lokálnemu útočníkovi je v produkte Qsync Central v dôsledku nedostatočnej kontroly alokácie systémových prostriedkov umožnené vyčerpať dostupné zdroje, čo môže viesť k DoS útoku [2].
Zraniteľnosť sa nachádza v produkte Qsync Central vo verziách >=5.0.0 AND <5.0.0.4.
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:U
Viac informácií:
- CVE-2025-54149 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-54150 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-54151 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
- CWE-789: Memory Allocation with Excessive Size Value at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 2. 2026.
Neautentizovanému vzdialenému útočníkovi je v operačných systémoch QTS a QuTS hero v dôsledku nedostatočného ošetrenia vstupov v komponente Samba umožnené vzdialene spúšťať ľubovoľné príkazy v systéme [7]. O oprave tejto zraniteľnosti v projekte Samba sme informovali už skôr [8].
Zraniteľnosť sa nachádza v produktoch:
- QTS vo verziách >=5.2.0 AND <5.2.8.3332 build 20251128
- QuTS hero vo verziách (>=h5.2.0 AND <h5.2.8.3321 build 20251117) OR (>=h5.3.0 AND <h5.3.2.3354 build 20251225)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2025-10230 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 2. 2026.
Odkazy
- [1] https://www.qnap.com/en/security-advisory/qsa-25-57
- [2] https://www.qnap.com/en/security-advisory/qsa-26-02
- [3] https://www.qnap.com/en/security-advisory/qsa-26-03
- [4] https://www.qnap.com/en/security-advisory/qsa-26-04
- [5] https://www.qnap.com/en/security-advisory/qsa-26-05
- [6] https://www.qnap.com/en/security-advisory/qsa-26-08
- [7] https://www.qnap.com/en/security-advisory/qsa-26-06
- [8] https://cyberfeed.cesnet.cz/reports/699
Za CESNET-CERTS Henrieta Paločková dňa 17. 2. 2026.
