描述:
QNAP 发布了安全公告,以应对 QNAP 产品的多个漏洞。有关修补程式的列表,请参考以下网址:
https://www.qnap.com/go/security-advisory/qsa-25-57
https://www.qnap.com/go/security-advisory/qsa-26-02
https://www.qnap.com/go/security-advisory/qsa-26-03
https://www.qnap.com/go/security-advisory/qsa-26-04
https://www.qnap.com/go/security-advisory/qsa-26-05
https://www.qnap.com/go/security-advisory/qsa-26-06
https://www.qnap.com/go/security-advisory/qsa-26-08
有报告指远端执行程式码漏洞及绕过保安限制漏洞 (CVE-2025-10230 及 CVE-2025-23048) 的概念验证 (PoC) 程式码已被公开。有关问题是由 Samba 及 Apache HTTP Server 报告。系统管理员应立即为受影响的系统安装修补程式,以减低受到网络攻击的风险。
受影响的系统:
- 运行 File Station 5.5.6.5190 之前版本的 QNAP NAS 装置
- 运行 Media Streaming 附加元件 500.1.1.6 (2024/08/02) 之前版本的QNAP NAS 装置
- 运行 QTS 操作系统 5.2.8.3350 build 20251216 之前版本的 QNAP NAS 装置
- 运行 Qsync Central 5.0.0.4 (2026/01/20) 之前版本的QNAP NAS 装置
- 运行 QuTS hero 操作系统 h5.3.2.3354 build 20251225、h5.2.8.3321 build 20251117 之前版本的 QNAP NAS 装置
有关受影响系统的详细资料,请参阅供应商网站的相应安全公告。
影响:
成功利用漏洞可以导致受影响的系统发生远端执行程式码、服务被拒绝、权限提升、泄漏资讯、绕过保安限制或篡改。
建议:
现已有适用于受影响系统的修补程式。受影响系统的系统管理员应遵从供应商的建议,立即採取行动以降低风险。
进一步资讯:
- https://www.qnap.com/go/security-advisory/qsa-25-57
- https://www.qnap.com/go/security-advisory/qsa-26-02
- https://www.qnap.com/go/security-advisory/qsa-26-03
- https://www.qnap.com/go/security-advisory/qsa-26-04
- https://www.qnap.com/go/security-advisory/qsa-26-05
- https://www.qnap.com/go/security-advisory/qsa-26-06
- https://www.qnap.com/go/security-advisory/qsa-26-08
- https://www.hkcert.org/security-bulletin/qnap-nas-multiple-vulnerabilities_20260212
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-42516
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-43204
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-43394
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-47252
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-56807 (to CVE-2024-56808)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-9640
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-10230
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-23048
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-30269
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-30276
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-47205
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-47209
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-48722 (to CVE-2025-48725)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-49630
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-49812
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-52868 (to CVE-2025-52870)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-53020
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-53598
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-54090
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-54146 (to CVE-2025-54150)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-54155
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-54161 (to CVE-2025-54163)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-54169
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-57707
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-57713
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-58466
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-59386
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-62853 (to CVE-2025-62856)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-66274
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-66277 (to CVE-2025-66278)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-22894