QNAP, Web Bölgesi dosyasında iki güvenlik boşluğu keşfetti ve vurdu. Bu, saldırganların bellek alanlarını değiştirmesine veya hizmet saldırılarını reddetme cihazlarını felç etmesine olanak tanır.
Bir güvenlik ilişkisinde, QNAP, sıfır Der eksiklik işaretçisindeki bir güvenlik boşluğunun (qNAP üzerindeki uyarıcı dayak hatalarını gülümsetmek için: Almanca “fahri”) dayandığını ve QNAP sistemindeki bir kullanıcı hesabına erişebilen forvetin, hizmetin bir inkarının boşluğunu kötüye kullanabileceğini tartışıyor. Bu türün zayıf yönleri genellikle bir çökmeye yol açar: Program kodu, zaten sıfıra atıfta bulunan ve bu da zaten sıfıra yol açan geçerli bir işaretçi içerir (CVE 2025-29901 / EUVD-2025-25777, CVSS4, CVE-2025-29901 7.1Risk “yüksek“).
İkinci zayıf nokta ise saldırganların planlanan depolama alanlarının dışına yazmasına ve dolayısıyla depolama alanlarını rahatsız etmesine veya değiştirmesine izin verir. QNAP bunu açıkça yazmaz, ancak genellikle program kodunu (malign) bellekte saklamak için kullanılabilir. Ancak, saldırganların önceden bir QNAP hesabına erişimi olmalıdır (CVE 2025-47206 / EUVD-2025-25778, CVSS4 7.1Risk “yüksek“).
Farklı Risk Değerlendirmesi
Güvenlik bildiriminde, QNAP boşlukları “orta” olarak sınıflandırır, ancak CVSS standardına göre değerlendirme BT'de yüksek bir risk görmektedir. 5 veya 5.5 “” Dosya Gezgini “dosya istasyonunu kullanırsanız, güncellenmiş ürün yazılımını hızlı bir şekilde yüklemeniz gerekir. QNAP, 5.6.4933 ve daha yakın zamanda istasyon 5.6.4933 ve daha yakın sürümdeki hataları çözdüğümü gösterir. Her zamanki gibi, güncelleme sadece güvenlik boşluklarını doldurduğunu açıklıyor.
Geçen yılın sonunda, QNAPS'teki güvenlik boşlukları da ağ depolamasını fark etti. Saldırganlar, emirlerini koymak ve emirlerinden ödün vermek için onları kötüye kullanabildiler.
(DMK)
Bir yanıt yazın