Vulnerabilidades en los productos de QNAP

09/06/2025 Noticias 0

Las actualizaciones de seguridad de QNAP abordan múltiples vulnerabilidades nuevas en varios productos. Estas podrían ser explotadas para ejecutar código arbitrario, manipulación de datos, denegación de servicio, divulgación de información o evitar restricciones de seguridad.

Productos afectados

  • QTS 5.2.x, versiones anteriores a 5.2.4.3079 compilación 20250321
  • QuTS hero h5.2.x, versiones anteriores a h5.2.4.3079 compilación 20250321
  • QuRouter 2.4.x, versiones anteriores a 2.4.6.028
  • QuRouter 2.5.x, versiones anteriores a 2.5.0.140
  • Qsync Central 4.5.xx, versiones anteriores a la 4.5.0.6 (20/03/2025)
  • File Station 5.5.x, versiones anteriores a 5.5.6.4847

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-2025-22481: con una puntuación de 8.7 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos que afecta a varias versiones del sistema operativo QNAP. Si se explota, esta vulnerabilidad podría permitir que actores maliciosos remotos con acceso de usuario ejecuten comandos arbitrarios.

CVE-2025-29892: con una puntuación de 8.7 en CVSS v3.1. Existe una vulnerabilidad de inyección SQL que afecta a Qsync Central. Si se explota, podría permitir que actores maliciosos remotos con acceso de usuario ejecuten código o comandos no autorizados.

CVE-2025-33031: con una puntuación de 8.3 en CVSS v3.1. Existe una vulnerabilidad de validación incorrecta de certificados que afecta a File Station 5. Si un actor malicioso remoto obtiene una cuenta de usuario, podría explotar la vulnerabilidad para comprometer la seguridad del sistema.

CVE-2025-30279: con una puntuación de 8.3 en CVSS v3.1. Existe una vulnerabilidad de validación incorrecta de certificados que afecta a File Station 5. Si un actor malicioso remoto obtiene una cuenta de usuario, podría explotar la vulnerabilidad para comprometer la seguridad del sistema.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

https://www.cve.org/CVERecord?id=CVE-2025-30279

https://www.qnap.com/en/security-advisory/qsa-25-12

https://www.qnap.com/en/security-advisory/qsa-25-15

https://www.qnap.com/en/security-advisory/qsa-25-10

https://www.qnap.com/en/security-advisory/qsa-25-16

https://www.cve.org/CVERecord?id=CVE-2025-22481

https://www.cve.org/CVERecord?id=CVE-2025-29892

https://www.cve.org/CVERecord?id=CVE-2025-33031

Compartir: