QNAP هفت آسیبپذیری روز صفر را برطرف کرد که توسط محققان امنیتی در جریان رقابت Pwn2Own Ireland 2025 در دستگاههای NAS اکسپلویت شده بود.
شناسههای این نقصهای امنیتی و محصولات تحت تاثیر به شرح زیر هستند:
- CVE-2025-62847, CVE-2025-62848, CVE-2025-62849 در سیستمعاملهای QuTS hero و QTS
- CVE-2025-62840, CVE-2025-62842 در HBS 3 Hybrid Backup Sync
- CVE-2025-59389 در Hyper Data Protector
- CVE-2025-11837 در Malware Remover
برای وصله نقصهای امنیتی مذکور، این شرکت توصیه کرد نرمافزار به آخرین نسخه به روزرسانی شود و تمام رمزهای عبور را جهت افزایش امنیت تغییر داده شود. آسیبپذیریها در نسخههای زیر برطرف شدهاند:
- Hyper Data Protector نسخه 2.2.4.1 و بالاتر
- Malware Remover نسخه 6.6.8.20251023 و بالاتر
- HBS 3 Hybrid Backup Sync نسخه 26.2.0.938 و بالاتر
- QTS نسخه 5.2.7.3297 build 20251024 و بالاتر
- QuTS hero نسخه h5.2.7.3297 build 20251024 و بالاتر
- QuTS hero نسخه h5.3.1.3292 build 20251024 و بالاتر
این شرکت همچنین QuMagie نسخه 2.7.0 را همراه با وصلههایی برای آسیبپذیری SQL injection (SQLi) حیاتی با شناسه CVE-2025-52425 در راهحل مدیریت و اشتراکگذاری تصویر خود منتشر کرد که میتواند به عوامل تهدید از راه دور امکان اجرای کد یا فرمانهای غیرمجاز روی دستگاههای آسیبپذیر را بدهد.
https://www.bleepingcomputer.com/news/security/qnap-fixes-seven-nas-zero-day-vulnerabilities-exploited-at-pwn2own/
