Se han descubierto múltiples vulnerabilidades de severidad crítica y alta en productos QNAP. Un actor malicioso podría ejecutar código no autorizado, leer datos del sistema o acceder a archivos no autorizados.
Productos afectados
- QuMagie 2.6.x, versiones anteriores a la 2.7.0
- Qsync Central 5.0.x, versiones anteriores a la 5.0.0.3
- QuMagie 2.7.x, versiones anteriores a la 2.7.3
- Download Station: 5.10.x, versiones anteriores a la 5.10.0.305
- Malware Remover 6.6.x, versiones anteriores a la 6.6.8.20251023
- QTS 5.2.x, versiones anteriores a la 5.2.7.3297
- QuTS hero h5.2.x, versiones anteriores a la 5.2.7.3297
- QuTS hero h5.3.x, versiones anteriores a la 5.3.1.3292
- HBS 3 Hybrid Backup Sync, versiones anteriores a la 26.2.0.938
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-52425: con una puntuación de 9.5 en CVSS v4.0. Existe una vulnerabilidad de inyección SQL. Un actor malicioso podría ejecutar código no autorizado o comandos en el sistema.
CVE-2025-58464: con una puntuación de 7.8 en CVSS v4.0. Existe una vulnerabilidad de recorrido relativo de ruta. Un actor malicioso podría leer el contenido de archivos no autorizados o datos del sistema.
CVE-2025-57712: con una puntuación de 7.1 en CVSS v4.0. Existe una vulnerabilidad de recorrido de ruta. Un actor malicioso con cuenta de usuario podría leer el contenido de archivos no autorizados o datos del sistema.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-52425
- https://www.cve.org/CVERecord?id=CVE-2025-58464
- https://www.cve.org/CVERecord?id=CVE-2025-57712
- https://www.qnap.com/en/security-advisories