Qnap Authenticator en andere producten kwetsbaar voor bugs

Qnap NAS

Qnap lanceert patches voor verschillende beveiligingsproblemen in zijn producten. De bugs treffen de Authenticator alsook verschillende toepassingen binnen het NAS-ecosysteem.

Qnap heeft beveiligingslekken in verschillende versies van zijn producten gepatcht. Deze kwetsbaarheden hebben impact op verschillende producten van Qnap, waaronder Qnap Authenticator, Video Station, Qsync Central, QTS, QuTS hero en NetBak Replicator. Gebruikers wordt geadviseerd om de nieuwste versies van de getroffen producten te installeren om zich te beschermen tegen mogelijke aanvallen.

Verschillende euvels

De kwetsbaarheden variëren van SQL-injecties en pad-traversalproblemen tot geheugenproblemen die kunnen leiden tot DoS-aanvallen of ongeautoriseerde toegang. Verschillende versies van Qnap-producten, zoals Qnap Authenticator, Video Station en Qsync Central, moeten gepatcht worden. Alle kwetsbaarheden zijn inmiddels opgelost in de meest recente versies van de betrokken producten.

  • Qnap Authenticator (ID: QSA-25-30): Een kwetsbaarheid in de Qnap Authenticator 1.3.x maakt het mogelijk voor aanvallers met fysieke toegang tot het apparaat om het systeem te compromitteren. Dit probleem is opgelost in versie 1.3.1.1227 en hoger.
  • Video Station (ID: QSA-25-32): Een SQL-injectieprobleem in Video Station 5.8.x stelt aanvallers in staat om ongeautoriseerde code uit te voeren. Dit is opgelost in versie 5.8.4 en hoger.
  • Qsync Central (ID: QSA-25-34 & QSA-25-35): Qsync Central 4.x en 5.0.0 bevatten meerdere kwetsbaarheden, waaronder pad-traversal, resource allocation zonder limieten, en NULL pointer dereference, die kunnen leiden tot DoS-aanvallen of ongeautoriseerde toegang. Deze zijn opgelost in respectievelijk versie 5.0.0.1 en versie 5.0.0.2.
  • QTS en QuTS hero (ID: QSA-25-36): Er zijn meerdere kwetsbaarheden gemeld in QTS 5.2.x en QuTS hero h5.2.x, waaronder pad-traversal, command injection en NULL pointer dereference, die aanvallers de mogelijkheid bieden om systeemgegevens in te zien, ongeautoriseerde opdrachten uit te voeren of een DoS-aanval te lanceren. Deze kwetsbaarheden zijn opgelost in versie 5.2.6.3195 (2025/07/15) of later.
  • NetBak Replicator (ID: QSA-25-39): Een probleem in NetBak Replicator 4.5.x maakt het mogelijk voor lokale aanvallers om ongeautoriseerde code uit te voeren. Dit probleem is opgelost in versie 4.5.15.0807 en hoger.

Qnap adviseert alle gebruikers van de getroffen producten om de nieuwste versies te installeren.