Se han descubierto vulnerabilidades de severidad alta en múltiples aplicaciones de QNAP. Un actor malicioso podría leer archivos arbitrarios del sistema, inyectar código SQL malicioso o acceder a datos sensibles sin autorización.
Productos afectados
- Qfiling: versiones anteriores a 3.13.1
- MARS (Multi-Application Recovery Service): versiones anteriores a 1.2.1.1686
- Qfinder Pro (Mac): versiones anteriores a 7.13.0
- Qsync (Mac): versiones anteriores a 5.1.5
- QVPN Device Client (Mac): versiones anteriores a 2.2.8
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-59384: con una puntuación de 8.1 en CVSS v4.0. Existe una vulnerabilidad de salto de directorio en Qfiling. Un actor malicioso remoto no autenticado podría aprovecharla para leer archivos arbitrarios en el sistema afectado, comprometiendo la confidencialidad de los datos.
CVE-2025-59387: con una puntuación de 8.1 en CVSS v4.0. Existe una vulnerabilidad de inyección SQL en la aplicación MARS (Multi-Application Recovery Service). Un actor malicioso remoto podría inyectar comandos SQL maliciosos para ejecutar código no autorizado o manipular la base de datos del sistema.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-59384
- https://www.cve.org/CVERecord?id=CVE-2025-59387
- https://www.qnap.com/en/security-advisory/qsa-25-53
- https://www.qnap.com/en/security-advisory/qsa-25-54
- https://www.qnap.com/en/security-advisory/qsa-25-55