Компания QNAP Systems выпустила критические обновления безопасности для устранения множественных уязвимостей в прошивке QVR, затрагивающих устаревшие сетевые видеорегистраторы VioStor NVR. Официальное уведомление о проблемах было опубликовано 29 августа 2025 года с настоятельной рекомендацией немедленно обновить системы для предотвращения потенциальных нарушений безопасности.
Детали уязвимостей
Обнаруженные уязвимости представляют серьезную угрозу для целостности устаревших систем VioStor NVR, работающих на прошивке QVR 5.1.x. Первая из них, зарегистрированная под идентификатором CVE-2025-52856, представляет собой нарушение механизма аутентификации, позволяющее удаленным злоумышленникам скомпрометировать безопасность системы без наличия действительных учетных данных. Эта критическая слабость дает возможность несанкционированного доступа к конфиденциальным данным видеонаблюдения и системам управления.
Вторая уязвимость, CVE-2025-52861, представляет собой проблему обхода путей доступа, которая становится эксплуатируемой после получения злоумышленником прав администратора. Через эту брешь вредоносные акторы могут читать непредусмотренные файлы и получать доступ к конфиденциальным системным данным за пределами своих установленных разрешений. Хотя для использования этой уязвимости требуется предварительный административный доступ, она значительно усиливает потенциальный ущерб от успешных атак.
Обе уязвимости классифицированы как "важные" по уровню серьезности, что указывает на существенный риск для затрагиваемых систем. Обнаружение и отчетность об этих недостатках приписываются исследователю безопасности Хоу Люянгу из 360 Security, что подчеркивает важность совместной работы в области безопасности для выявления критических системных уязвимостей.
QNAP оперативно отреагировала на эти проблемы безопасности, выпустив обновленную прошивку, которая устраняет обе уязвимости. Затрагиваемые устаревшие системы VioStor NVR с прошивкой QVR 5.1.x теперь могут быть обновлены до версии QVR 5.1.6 build 20250621 или более поздних версий для устранения рисков безопасности. Компания пометила уязвимости как "устраненные", что указывает на доступность комплексных исправлений через последние обновления прошивки.
Этот быстрый ответ демонстрирует приверженность QNAP поддержанию безопасности продуктов инфраструктуры видеонаблюдения, даже для устаревших систем, которые могут больше не получать регулярных обновлений функций. Пользователи могут проверить текущую версию прошивки и загрузить соответствующие обновления непосредственно через официальный портал загрузок QNAP.
Компания предоставляет подробные инструкции по обновлению затрагиваемых систем, подчеркивая простоту процесса установки исправлений. Администраторы могут получить доступ к функции обновления прошивки через меню системных настроек панели управления, где можно загрузить и установить последние обновления безопасности. Процесс обновления требует административного доступа к системе VioStor NVR и включает загрузку конкретного файла прошивки для модели устройства с официального сайта QNAP.
После загрузки через интерфейс обновления прошивки система автоматически устанавливает исправления безопасности, обеспечивая немедленную защиту от выявленных уязвимостей. QNAP настоятельно рекомендует пользователям устанавливать регулярные графики обновлений, чтобы гарантировать своевременное получение последних исправлений безопасности. Компания также советует проверять страницу статуса поддержки продуктов для мониторинга доступности поддержки конкретных моделей NVR и получения информации о будущих обновлениях безопасности и системных рекомендациях. Особое внимание уделяется необходимости срочного обновления учитывая конфиденциальный характер данных видеонаблюдения, обычно управляемых системами NVR.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-52856
- https://www.cve.org/CVERecord?id=CVE-2025-52861
- https://www.qnap.com/en/security-advisory/qsa-25-29
- https://www.qnap.com/en/security-advisory/qsa-25-28
