Компания Qnap выпустила исправления для 18 уязвимостей, затрагивающих операционные системы NAS (сетевых накопителей), приложения для управления медиафайлами и лицензирования. Уязвимости разделены на две группы: одна связана с основными прошивками QTS, QuTS hero, QuTS cloud и платформой QVP, другая - с приложениями QuMagie и License Center. Некоторым из них присвоен критический уровень опасности.
Детали уязвимостей
Первая группа включает 14 уязвимостей, обнаруженных в QTS версий до 5.2.10, QuTS hero до h5.2.9, QuTS cloud до c5.2.9 и QVP до 2.8.0. Среди них - инъекция команд, переполнение стека, подмена URL и недостатки контроля доступа. Например, уязвимость CVE-2025-59382 позволяет удаленному злоумышленнику модифицировать ссылку для сброса пароля. Жертва перенаправляется на подконтрольную атакующему страницу, что ведет к краже учетных данных. Наличие CVE-2025-66273 и CVE-2025-66279 дает возможность аутентифицированному администратору выполнять произвольные системные команды через параметры имени пользователя и API удаления учетных записей. Другая команда (CVE-2026-22893) позволяет выполнить код с повышенными привилегиями.
Проблема переполнения стека (CVE-2025-62858) при эксплуатации администратором может вызвать повреждение памяти и нештатное поведение системы. CVE-2025-66280 и CVE-2025-68405 также ведут к переполнению стека и, как следствие, к отказу в обслуживании. Уязвимости CVE-2026-26239, CVE-2026-26240 и CVE-2026-26241 связаны с переполнением буфера на стеке из-за слишком длинных имен файлов при загрузке. Это приводит к аварийному завершению процессов CGI. Кроме того, CVE-2026-24724 позволяет аутентифицированному пользователю обходить ограничения доступа и читать конфиденциальные файлы. Проблема разыменования нулевого указателя (CVE-2026-22899) эксплуатируется пользователем с низкими привилегиями и вызывает сегментную ошибку в utilRequest.cgi. Аура неконтролируемого потребления ресурсов (CVE-2026-24720) дает аутентифицированному злоумышленнику возможность загрузить процессор и память, снижая отзывчивость системы. Уязвимость CVE-2025-66281 позволяет вызвать отказ в обслуживании до аутентификации путем отправки некорректного HTTP-запроса с отсутствующим заголовком content-length.
Вторая группа уязвимостей затрагивает QuMagie версий до 2.9.1 (для ветки 2.8.x) и до 2.10.0 (для ветки 2.9.x), а также License Center до 2.0.42. В бюллетене QSA-26-35 указано, что три уязвимости в QuMagie (CVE-2026-26236, CVE-2026-26237, CVE-2026-44083) являются докритическими. Они позволяют неаутентифицированному удаленному злоумышленнику получать доступ к медиафайлам, хранящимся в QuMagie. CVE-2026-26236 дает прямой доступ к самим файлам, CVE-2026-26237 - к миниатюрам AI-распознавания лиц и обложкам папок, а CVE-2026-44083 - к архивам альбомов. Эксплуатация любой из них приводит к раскрытию данных владельца NAS. Проблема в License Center (CVE-2025-62851) связана с обходом пути (path traversal) в скрипте qlicenseRequest.cgi. Аутентифицированный администратор может читать файлы за пределами разрешенного каталога.
Как отмечается в бюллетенях Qnap (QSA-26-10 от 17 июня 2026 года и QSA-26-35 от той же даты), все уязвимости уже устранены. Пользователям QTS необходимо обновиться до версии 5.2.10. Для QuTS hero исправляющая версия - h5.2.9, для QuTS cloud - c5.2.9. Аппаратные платформы QVP (QVR Pro) должны быть обновлены до версии 2.8.0. Владельцам устройств с установленным QuMagie следует установить версию 2.9.1 (для ветки 2.8.x) или 2.10.0 (для ветки 2.9.x). License Center требуется обновить до версии 2.0.42.
Поскольку среди уязвимостей есть такие, которые не требуют аутентификации для эксплуатации (например, CVE-2026-26236 и CVE-2025-66281), а также позволяющие администратору выполнить код, затягивание с установкой исправлений повышает риск компрометации NAS. В случае атаки злоумышленник может получить доступ к личным данным, нарушить работу хранилища или использовать устройство как точку входа в корпоративную сеть. Рекомендуется немедленно проверить установленные версии программного обеспечения и применить обновления в соответствии с указаниями производителя.
Ссылки
- https://www.qnap.com/go/security-advisory/qsa-26-10
- https://www.qnap.com/go/security-advisory/qsa-26-35
