В начале января 2026 года в Банке данных угроз (BDU) была зарегистрирована новая критическая уязвимость, затрагивающая популярное программное обеспечение для организации файлов. Речь идет об уязвимости в компоненте Qfiling от компании QNAP Systems, Inc., получившей идентификатор BDU:2026-00812. Эта проблема, связанная с обходом пути (path traversal), оценивается по шкале CVSS 3.1 в максимальные 9.8 баллов, что соответствует критическому уровню опасности. Уязвимость позволяет удаленному злоумышленнику без аутентификации получить полный контроль над системой.
Детали уязвимости
Уязвимость затрагивает Qfiling версий от 3.13.0 до 3.13.1 включительно. Данное прикладное ПО предназначено для автоматической сортировки и организации файлов на сетевых хранилищах (NAS) QNAP. Ошибка классифицируется как CWE-22, то есть неверное ограничение имени пути к каталогу с ограниченным доступом. Проще говоря, из-за недостаточной проверки входных данных атакующий может манипулировать параметрами пути к файлам. Следовательно, он получает возможность выйти за пределы предназначенного каталога и обратиться к произвольным файлам в системе.
Базовые векторы оценки CVSS четко демонстрируют серьезность угрозы. Во всех версиях метрики (2.0, 3.0, 4.0) указан сетевой вектор атаки (AV:N), низкая сложность эксплуатации (AC:L) и отсутствие необходимости в привилегиях (PR:N) или действиях пользователя (UI:N). Наиболее важно то, что оценивается максимальное воздействие на конфиденциальность, целостность и доступность (C:H/I:H/A:H). Фактически это означает, что успешная эксплуатация уязвимости может привести к полной компрометации устройства. Злоумышленник сможет читать, изменять и удалять любые данные, а также выполнять произвольный код для закрепления в системе (persistence).
Производитель, компания QNAP, уже подтвердил наличие уязвимости и присвоил ей идентификатор CVE-2025-59384. Информация об уязвимости была опубликована в бюллетене безопасности QSA-25-54. К счастью, на момент публикации новости статус уязвимости отмечен как «устраненная». Таким образом, основной и единственный рекомендуемый способ защиты - немедленное обновление программного обеспечения Qfiling до версии, выпущенной после 3.13.1. Администраторам необходимо посетить официальный сайт QNAP и следовать инструкциям из указанного бюллетеня безопасности.
Хотя наличие работающего эксплойта на момент регистрации в BDU уточняется, критический рейтинг и простота эксплуатации делают эту уязвимость крайне привлекательной для киберпреступников. В частности, подобные уязвимости обхода пути часто используются как начальный вектор атаки для последующего развертывания вредоносного кода (payload), включая программы-вымогатели (ransomware). Поэтому задержка с обновлением создает серьезные риски.
Данный инцидент в очередной раз подчеркивает важность своевременного применения патчей для всего программного обеспечения, включая вспомогательные приложения вроде систем сортировки. Уязвимости в таких компонентах могут стать слабым звеном в общей безопасности инфраструктуры. Регулярный мониторинг источников, таких как базы данных уязвимостей и бюллетени производителей, должен быть неотъемлемой частью процедур администратора безопасности. В конечном счете, оперативное обновление остается наиболее эффективной мерой против угроз, связанных с известными уязвимостями в коде.
Ссылки
- https://bdu.fstec.ru/vul/2026-00812
- https://www.cve.org/CVERecord?id=CVE-2025-59384
- https://www.qnap.com/en/security-advisory/qsa-25-54
