Qnap, hafta sonu boyunca, bazıları NAS sistemlerindeki ve ilgili yazılımlardaki kritik güvenlik açıklarıyla ilgili olan toplam on bir güvenlik önerisi yayınladı. Bildirimlere yönelik güncellemeler zaten indirilip kurulabilir; Qnap sistemlerini kullanan herkes, cihazlarının zaten güncellenmiş olup olmadığını kontrol etmelidir.
Duyurudan sonra devamını okuyun
Ancak güvenlik açıklarına ilişkin ayrıntılar azdır ve hatta CVE verileri bile henüz yayınlanmamıştır. Ancak QTS ve QuTS Hero'da Qnap, sıfır gün güvenlik açığı olarak kullanılan üç güvenlik açığını, NAS depolama cihazlarına yönelik saldırılar için İrlanda'daki Pwn2Own 2025'e bağladı (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849). Hala CVSS derecesine sahip bir saldırı vektörümüz yok ancak Qnap, riski şu şekilde sınıflandırıyor: “eleştirmen“. Hata düzeltmeleri, QTS 5.2.7.3297 Build 20251024, QuTS Hero h5.2.7.3297 Build 20251024 ve QuTS Hero h5.3.1.3292 Build 20251024 ve daha yeni sürümleri getiriyor.
Diğer kritik boşluklar, 2.2.4.1 ve sonraki sürümlerin düzelttiği Hyper Data Protector'da (CVE-2025-59389) veya 26.2.0.938 veya sonraki sürümlerin sorunu çözdüğü HBS 3 Hybrid Backup Sync'te (CVE-2025-62840, CVE-2025-62842) bulunabilir.
“Pwn2Own olmayan boşluklar” bile kapatıldı
Ancak Qnap, Pwn2Own'da bulunmayan diğer güvenlik açıklarını da yamalar. Örneğin, QuMagie'nin 2.7.0 sürümünden önce, ağ saldırganlarının kötü amaçlı kod yürütmesine olanak tanıyan, kritik olarak sınıflandırılan bir SQL enjeksiyon deliği vardı (CVE-2025-52425).
Hafta sonu yapılan ek güvenlik duyuruları, Qnap geliştiricilerinin bazılarının o kadar da ciddi olmadığını düşündüğü güvenlik sızıntılarıyla ilgili:
- QuMagie'deki 2.7.3'ten önceki güvenlik açıkları (CVE-2025-58464), risk derecelendirmesi “önemli”
- Download Station'da 5.10.0.305 (QTS) /.304 (QuTS Hero) (CVE-2025-58463, CVE-2025-58465) öncesi “önemli” olarak derecelendirilmiş birden fazla güvenlik açığı
- 5.0.0.3 (CVE-2025-57712) sürümünden önceki Qsync Central'daki güvenlik açığı, “önemli” olarak derecelendirildi
- 5.5.6.5018'den önce File Station 5'te birden fazla güvenlik açığı (CVE-2025-47207, CVE-2025-53408, CVE-2025-53409, CVE-2025-53410, CVE-2025-53411, CVE-2025-53412, CVE-2025-53413, CVE-2025-52865, CVE-2025-57706), orta dereceli
- 3.0.0.3466, 2.1.0.3443 ve 1.9.2.3163 (CVE-2025-54167) öncesi Bildirim Merkezi'ndeki güvenlik açıkları “orta” olarak derecelendirildi
- 1.8.2.923'ten (CVE-2025-54168, CVE-2025-58469) önce QuLog Center'da “orta” olarak derecelendirilen birden fazla güvenlik açığı
Duyurudan sonra devamını okuyun
Qnap en son Eylül ayında QTS ve QuTS Hero'da yüksek riskli güvenlik açıkları bildirmişti. Sorunları gideren güncellemeler bir süredir mevcuttu.
(Bilmiyorum)
Bir yanıt yazın