Se han descubierto vulnerabilidades de severidad alta en productos QNAP. Un actor malicioso podría ejecutar comandos no autorizados, provocar denegación de servicio o impedir el uso de recursos del sistema.
Productos afectados
- NetBak Replicator 4.5.x, versiones anteriores a 4.5.15.0807
- Qsync Central 5.0.0.x, versiones anteriores a 5.0.0.2
- Video Station 5.8.x, versiones anteriores a 5.8.4
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-53595: con una puntuación de 8.6 en CVSS v4.0. Existe una vulnerabilidad de inyección SQL que afecta a Qsync Central. Un actor malicioso podría ejecutar comandos arbitrarios en el sistema objetivo si obtiene una cuenta de usuario.
CVE-2025-57714: con una puntuación de 8.5 en CVSS v4.0. Existe una vulnerabilidad de de ruta o elemento de búsqueda sin comillas que afecta a NetBak Replicator. Un actor malicioso podría ejecutar comandos arbitrarios en el sistema objetivo si obtiene una cuenta de usuario.
CVE-2025-44012: con una puntuación de 7.1 en CVSS v4.0. Existe una vulnerabilidad de de asignación de recursos sin límites o de limitación que afecta a Qsync Central. Un actor malicioso podría impedir que otros sistemas, aplicaciones o procesos accedan al mismo tipo de recurso si obtiene una cuenta de usuario.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.qnap.com/en/security-advisory/qsa-25-32
- https://www.qnap.com/en/security-advisory/qsa-25-35
- https://www.qnap.com/en/security-advisory/qsa-25-39
- https://www.cve.org/CVERecord?id=CVE-2025-57714
- https://www.cve.org/CVERecord?id=CVE-2025-53595
- https://www.cve.org/CVERecord?id=CVE-2025-44012