Компания QNAP выпустила критическое обновление безопасности для своего приложения License Center, устраняющее две опасные уязвимости. Если эти ошибки не исправить, злоумышленники могут похитить конфиденциальную информацию или нарушить стабильную работу сетевых хранилищ (NAS). Обновление, выпущенное 3 января 2026 года, предназначено для версий License Center 2.0.x. Хотя общий уровень угрозы QNAP оценивает как «умеренный», риски значительно возрастают, если атакующий уже получил первоначальный доступ к системе.
Детали уязвимости
Согласно бюллетеню безопасности QSA-25-52, проблемы кроются в ошибках управления памятью. Первая уязвимость, получившая идентификатор CVE-2025-52871, классифицируется как чтение за пределами допустимого диапазона (out-of-bounds read). Её может использовать удалённый злоумышленник, имеющий доступ к стандартной учётной записи пользователя. В результате эксплойта атакующий получает возможность читать данные, которые должны быть ему недоступны. Это потенциально ведёт к утечке секретной информации, хранящейся в памяти системы.
Вторая проблема, зарегистрированная как CVE-2025-53597, представляет собой переполнение буфера (buffer overflow). Эта уязвимость считается более серьёзной, однако для её эксплуатации требуются привилегии администратора. Если злоумышленник получает доступ к такой учётной записи, он может модифицировать память или вызвать аварийное завершение процессов. Последствиями становятся отказ в обслуживании (Denial-of-Service, DoS) или общая нестабильность работы устройства.
Компания QNAP устранила обе уязвимости в версии License Center 2.0.36. Специалисты настоятельно рекомендуют всем пользователям, работающим с линейкой версий 2.0.x, немедленно установить последнее обновление для защиты своих данных. Для применения исправлений администраторам необходимо войти в операционную систему QTS или QuTS Hero, открыть App Center и найти приложение «License Center». Если обновление доступно, появится кнопка «Update». Её нажатие запустит автоматическую загрузку и установку патченной версии.
Важно отметить, что обнаружение этих уязвимостей стало возможным благодаря внешнему исследователю. QNAP выразила благодарность эксперту по безопасности под псевдонимом Coral за ответственное сообщение об ошибках. Такое сотрудничество помогает укрепить экосистему до того, как уязвимости могут быть использованы в широкомасштабных атаках.
В целом, данный инцидент подчёркивает важность своевременного обновления программного обеспечения, даже для вспомогательных компонентов вроде центра лицензирования. Пользователи корпоративных и домашних NAS-систем QNAP должны рассматривать регулярное обновление как обязательную часть своей политики кибербезопасности. Промедление с установкой патчей может создать окно для атаки, особенно в сценариях, где злоумышленник уже скомпрометировал учётные данные.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-52871
- https://www.cve.org/CVERecord?id=CVE-2025-53597
- https://www.qnap.com/en/security-advisory/qsa-25-52
