QNAP修复了NAS设备上的三个漏洞,其中一个是关键的身份验证缺陷 媒体

  • 2025-04-08
  • 198

QNAP 修复三项漏洞,包含一项严重安全隐患

关键要点

QNAP 修复了三项网络附加存储 (NAS) 产品中的漏洞,其中一项的 CVSS 分数为 98,属于严重级别。另外两项的严重性较低,CVSS 分数均低于 50。如果利用了这些漏洞,可能会对系统安全造成威胁。QNAP 建议用户定期更新设备,以确保安全。

QNAP 最近修复了其网络附加存储NAS产品中的三项漏洞,其中一项漏洞的 CVSS 分数高达 98,属于严重级别。而另外两项漏洞的严重性较低,CVSS 分数均在 50 以下。

在3月9日发布给客户的公告中,QNAP 表示,如果被利用,这一严重漏洞 CVE202421899 不当认证漏洞可能会让用户通过网络危害系统的安全。

与此同时,CVE202421900 注入漏洞如果被利用,可能会允许用户通过网络执行命令。此外,第三个漏洞是 CVE202421901,如果被利用,SQL 注入漏洞可能会允许经过身份验证的管理员通过网络注入恶意代码。

QNAP修复了NAS设备上的三个漏洞,其中一个是关键的身份验证缺陷 媒体

QNAP 表示该漏洞已修复的产品版本包括:QTS 51x;QTS 45x;QuTS hero h51x;QuTS hero h45x;QuTScloud c5x;以及 my QNAPcloud 10x。

该公司建议使用 QNAP NAS 设备的安全团队定期更新其系统和应用程序到最新版本,以确保获益于这些漏洞修复。QNAP 并没有说明这些漏洞是否已在实际环境中被利用。QNAP 在一月时也发布过类似的补丁。

Viakoo 的首席执行官 Bud Broomhead 指出,QNAP NAS 设备通常分布在组织的多个部分,并且通常在 IT 部门之外进行管理。虽然 QNAP 应当为其在漏洞被利用之前发现并发布补丁而受到赞扬,但 Broomhead 表示,在实地修复 QNAP 设备之前,可能会出现显著的时间延迟。由于 QNAP NAS 设备是高容量 IoT 设备,且常常部署在 IT 之外,因此团队通常难以得知它们的存在。

Broomhead 询问道:“为什么在高严重性分数下 QNAP 不直接强制更新所有设备的补丁?”他表示:“这就是物联网设备的问题,补丁通常需要提前排定时间并协调,以免停机影响运营。需要自动化的物联网补丁机制,使最终用户能够设定更新的时间表,以确保威胁行动者无法利用这些漏洞。”

闪电加速器破解版

QNAP 还补充表示,安全团队可以查看其产品支持状态页面,以获取每个特定 QNAP NAS 型号的最新更新信息。