[TLP:CLEAR] QNAP opravuje 17 zranitelností
QNAP opravuje 17 zranitelností ve svých produktech. Vybrané zranitelnosti jsou popsány níže, zbylé naleznete na [1][2]. Produkty a jejich opravené verze: QuMagie - 2.9.1, 2.10.0 [1] License Center - 2.0.42 [1] QVP - 2.8.0 [2] QTS - 5.2.10 [2] QuTS cloud - C5.2.9 [2] QuTS hero - h5.2.9 [2]
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné kontrole přístupu v aplikaci QuMagie umožněno přistupovat k uloženým mediálním souborům a archivům alb, a tím získat citlivé informace [1].
Zranitelnost se nachází v produktu QuMagie ve verzích (>=2.8.2 AND <2.9.1) OR (>=2.9.0 AND <2.10.0).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-44083 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-639: Authorization Bypass Through User-Controlled Key at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 6. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné kontrole přístupu před autentizací v aplikaci QuMagie umožněno přistupovat k uloženým mediálním souborům, a tím získat citlivé informace [1].
Zranitelnost se nachází v produktu QuMagie ve verzích (>=2.8.2 AND <2.9.1) OR (>=2.9.0 AND <2.10.0).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2026-26236 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-862: Missing Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 6. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné kontrole přístupu před autentizací v aplikaci QuMagie umožněno získat přístup k náhledům rozpoznaných obličejů a titulním obrázkům složek, a tím získat citlivé informace [3].
Zranitelnost se nachází v produktu QuMagie ve verzích (>=2.8.2 AND <2.9.1) OR (>=2.9.0 AND <2.10.0).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2026-26237 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-359: Exposure of Private Personal Information to an Unauthorized Actor at cwe.mitre.org
- CWE-862: Missing Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 6. 2026.
Autentizovanému vzdálenému útočníkovi s administrátorskými oprávněními je kvůli nedostatečné validaci parametru uživatelského jména umožněno prostřednictvím command injection spustit libovolné systémové příkazy na zařízení NAS [2].
Zranitelnost se nachází v produktech:
- QVP ve verzích >=2.7.1 AND <2.8.0
- QTS ve verzích >=5.2.7 AND <5.2.10
- QuTS cloud ve verzích >=c5.2.8 AND <c5.2.9
- QuTS hero ve verzích >=h5.2.8 AND <h5.2.9
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-66273 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 6. 6. 2026.
Autentizovanému vzdálenému útočníkovi s administrátorskými oprávněními je prostřednictvím command injection v API pro odstraňování uživatelů umožněno spustit libovolné systémové příkazy na zařízení NAS [2].
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-66279 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 6. 6. 2026.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 17. 6. 2026.
