Multiple vulnerabilități identificate în instrumentele QNAP
Sursă: https://cybersecuritynews.com
QNAP a remediat mai multe vulnerabilități de securitate în aplicația sa License Center, care ar putea permite atacatorilor să acceseze informații sensibile sau să perturbe serviciile pe dispozitivele NAS afectate.
Vulnerabilitățile, identificate ca CVE-2025-52871 și CVE-2025-53597, au fost dezvăluite la începutul acestui an.
QNAP a evaluat vulnerabilitățile ca având un grad de severitate moderat și a confirmat că acestea au fost remediate în ultimele versiuni. Vulnerabilitățile afectează License Center 2.0.x, o componentă utilizată pentru gestionarea licențelor pe sistemele QNAP.
Deși erorile nu sunt descrise ca exploatări la distanță neautentificate, QNAP menționează că un atacator ar avea mai întâi nevoie de acces la un cont valid.
CVE-2025-52871 este o vulnerabilitate de tip out-of-bounds read. Potrivit QNAP, dacă un atacator la distanță obține acces la un cont de utilizator, acesta poate exploata vulnerabilitatea pentru a obține date cu caracter sensibil.
Erorile de tip out-of-bounds read permit, de obicei, divulgarea neintenționată a memoriei, ceea ce poate expune token-uri, chei sau alte valori sensibile, în funcție de ceea ce este stocat în memorie în timpul rulării.
CVE-2025-53597 este o vulnerabilitate de tip buffer overflow. QNAP afirmă că, dacă un atacator la distanță obține acces la un cont de administrator, acesta ar putea exploata vulnerabilitatea pentru a modifica memoria sau a bloca procesele, provocând potențial instabilitate sau lansa atacuri de tip denial-of-service pe sistemele afectate.
QNAP a remediat vulnerabilitățile în License Center 2.0.36 și versiunile ulterioare.
Organizațiile și utilizatorii care utilizează License Center 2.0.x trebuie să efectueze actualizarea imediat, în special dacă NAS-ul este accesibil de pe internet sau este partajat între mai mulți utilizatori.
Sursă: https://cybersecuritynews.com/qnap-tools-vulnerabilities/
