Эксперты по кибербезопасности подтвердили наличие критической уязвимости в популярном медиа-приложении QuMagie, которое используется на сетевых хранилищах (NAS) производства компании QNAP. Уязвимость, получившая идентификаторы BDU:2026-00055 и CVE-2025-52425, связана с классической атакой типа SQL-инъекция (SQL injection). Она позволяет удаленному злоумышленнику без каких-либо привилегий выполнить произвольные команды на уязвимом устройстве. Соответственно, потенциальные последствия эксплуатации этой уязвимости крайне серьезны.
Детали уязвимости
Уязвимость затрагивает QuMagie версий от 2.6 до 2.7.0. Это приложение предназначено для управления и организации фотографий и видео непосредственно на устройствах QNAP. Проблема, обозначенная в классификаторе CWE как CWE-89 (Непринятие мер по защите структуры запроса SQL), возникает из-за недостаточной проверки и очистки пользовательского ввода перед формированием SQL-запросов. Как следствие, злоумышленник может внедрить в запрос вредоносный код, который система ошибочно выполнит.
Уровень опасности этой уязвимости оценивается как критический по всем основным версиям системы оценки CVSS. В частности, базовая оценка по CVSS 3.1 достигает 9.8 баллов из 10. Это максимально высокий показатель, который присваивается уязвимостям, не требующим от атакующего специальных условий доступа (PR:N), аутентификации (Au:N) или взаимодействия с пользователем (UI:N). Проще говоря, для успешной атаки достаточно, чтобы устройство было доступно в сети.
Потенциальные сценарии атаки выглядят угрожающе. Воспользовавшись этой уязвимостью, злоумышленник может получить полный контроль над сетевым хранилищем. Например, он может скопировать, изменить или удалить все хранящиеся данные. Более того, атакующий может установить на устройство вредоносное программное обеспечение, такое как программы-шифровальщики (ransomware). После этого данные пользователя могут быть заблокированы с требованием выкупа. Дополнительно, злоумышленник может использовать взломанный NAS как точку входа для атак на другие устройства в локальной сети или для создания узла ботнета.
Важно отметить, что производитель, компания QNAP Systems, Inc., уже подтвердил наличие проблемы и выпустил обновления безопасности. Информация об устранении уязвимости опубликована в бюллетене безопасности QSA-25-33 на официальном сайте. Согласно данным из Банка данных угроз (BDU), уязвимость на данный момент устранена. Следовательно, основная и единственная рекомендуемая мера защиты - немедленное обновление программного обеспечения QuMagie до актуальной, исправленной версии.
Администраторам и пользователям QNAP NAS необходимо безотлагательно проверить версию установленного приложения QuMagie в центре приложений QTS или QuTS hero. Если используется версия в диапазоне от 2.6 до 2.7.0, следует установить все доступные обновления. Кроме того, в качестве общей рекомендации по безопасности, стоит рассмотреть возможность ограничения доступа к веб-интерфейсу управления NAS из глобальной сети интернет. Реализация этого подхода значительно сокращает поверхность для потенциальных атак.
На текущий момент информация о наличии публичных эксплойтов или активных атак уточняется. Однако, учитывая критический характер уязвимости и популярность продукции QNAP, можно ожидать, что интерес к ней со стороны киберпреступников будет высоким. История подобных инцидентов показывает, что уязвимости такого класса часто становятся мишенью для автоматизированных сканеров и массовых кампаний.
Этот случай в очередной раз подчеркивает важность своевременного применения обновлений безопасности даже для, казалось бы, вспомогательного прикладного программного обеспечения. Сетевое хранилище часто воспринимается как простой накопитель данных, однако по своей сути это полноценный компьютер, работающий под управлением сложной операционной системы. Поэтому его защита требует такого же внимания, как и защита любого другого сервера в корпоративной сети. Регулярное обновление всего программного стека должно быть неотъемлемой частью политики безопасности.
Ссылки
- https://bdu.fstec.ru/vul/2026-00055
- https://www.cve.org/CVERecord?id=CVE-2025-52425
- https://www.qnap.com/en/security-advisory/qsa-25-33
