SK-CERT Bezpečnostné varovanie V20250901-02

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	9.8

Identifikátor

QNAP produkty – viacero kritických bezpečnostných zraniteľností

Popis

Spoločnosť QNAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých je viacero označených ako kritických. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-52856 sa nachádza v QVR firmvéri produktu Legacy VioStor NVR, spočíva v nedostatočnej implementácii mechanizmov autentifikácie a umožňuje vzdialenému, neautentifikovanému útočníkovi získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme a spôsobiť zneprístupnenie služby. Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby a vykonať škodlivý kód. Zneužitie niektorých zraniteľností vyžaduje interakciu zo strany používateľa.

Dátum prvého zverejnenia varovania

29.8.2025

CVE

CVE-2025-52856, CVE-2025-52861, CVE-2025-29874, CVE-2025-29875, CVE-2025-29878, CVE-2025-29879, CVE-2025-29886, CVE-2025-29888, CVE-2025-29889, CVE-2025-29890, CVE-2025-29899, CVE-2025-29900, CVE-2025-29882, CVE-2025-30264, CVE-2025-30265, CVE-2025-30267, CVE-2025-30268, CVE-2025-30270, CVE-2025-30271, CVE-2025-30272, CVE-2025-30273, CVE-2025-30274, CVE-2025-33032, CVE-2025-29893, CVE-2025-29894, CVE-2025-29898, CVE-2025-30260, CVE-2025-30275, CVE-2025-30277, CVE-2025-30278, CVE-2025-33033, CVE-2025-33036, CVE-2025-33037, CVE-2025-33038, CVE-2022-22995, CVE-2023-42464, CVE-2024-38439, CVE-2024-38440, CVE-2024-38441, CVE-2025-29887, CVE-2025-44015, CVE-2025-30261, CVE-2025-30262, CVE-2025-30263, CVE-2025-29901, CVE-2025-47206, CVE-2025-22483, CVE-2024-12923, CVE-2022-45188

IOC

–

Zasiahnuté systémy

Legacy VioStor NVR: QVR vo verzii staršej ako 5.1.6 build 20250621 File Station 5 vo verzii staršej ako 5.5.6.4907 a 5.5.6.4933 QTS vo verzii staršej ako 5.2.5.3145 build 20250526 QuTS hero vo verzii staršej ako h5.2.5.3138 build 20250519 Qsync Central vo verzii staršej ako 4.5.0.7 (2025/04/23) QTS vo verzii staršej ako 5.2.5.3145 build 20250526 QuTS hero vo verzii staršej ako h5.2.5.3138 build 20250519 Photo Station vo verzii staršej ako 6.4.5 (2025/01/02) QuRouter vo verzii staršej ako 2.5.1.060 HybridDesk Station vo verzii staršej ako 4.2.18 License Center vo verzii staršej ako 1.8.51 a 1.9.51 Qsync Central vo verzii staršej ako 5.0.0.0 (2025/06/13)

Následky

Vykonanie škodlivého kódu Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky.

Zdroje

https://www.qnap.com/en/security-advisory/qsa-25-29 https://exchange.xforce.ibmcloud.com/vulnerabilities/pJPo9pgBvxtUtBM1zpk4 https://www.qnap.com/en/security-advisory/qsa-25-19 https://www.qnap.com/en/security-advisory/qsa-25-21 https://www.qnap.com/en/security-advisory/qsa-25-22 https://www.qnap.com/en/security-advisory/qsa-25-23 https://www.qnap.com/en/security-advisory/qsa-25-24 https://www.qnap.com/en/security-advisory/qsa-25-25 https://www.qnap.com/en/security-advisory/qsa-25-20 https://www.qnap.com/en/security-advisory/qsa-25-27 https://www.qnap.com/en/security-advisory/qsa-25-28 https://www.qnap.com/en/security-advisory/qsa-25-31

« Späť na zoznam