Se han descubierto vulnerabilidades de severidad crítica y alta en productos QNAP. Un actor malicioso podría eludir los mecanismos de autenticación, acceder a información confidencial o ejecutar comandos arbitrarios en los sistemas afectados.
Productos afectados
- QVR Pro: versiones 2.7.x anteriores a la 2.7.4.1485.
- QuNetSwitch: versiones 2.0.x anteriores a la 2.0.4.0415.
- QuRouter: versiones 2.6.x anteriores a la 2.6.3.009.
- Servicio QuFTP: versiones 1.4.x (anteriores a 1.4.3), 1.5.x (anteriores a 1.5.2) y 1.6.x (anteriores a 1.6.2).
- Complemento de transmisión multimedia: versiones 500.1.x anteriores a la 500.1.1.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-22898: con una puntuación de 9.3 en CVSS v4.0. Existe una vulnerabilidad de falta de autenticación para una función crítica en QVR Pro. Un actor malicioso remoto podría explotar esta vulnerabilidad para obtener acceso no autorizado al sistema.
CVE-2026-22897: con una puntuación de 8.1 en CVSS v4.0. Existe una vulnerabilidad de inyección de comandos en QuNetSwitch. Un actor malicioso remoto podría ejecutar comandos arbitrarios en el dispositivo afectado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias