
Se han descubierto múltiples vulnerabilidades en productos QNAP. Entre ellas, tres de severidad alta. Un actor malicioso podría eludir los mecanismos de autorización o divulgar información de los sistemas afectados.
Productos afectados
QuMagie
- versiones hasta la 2.9.0
Centro de licencias
- Versiones desde la 1.8.56 hasta la 2.0.41
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-44083: con una puntuación de 8.7 en CVSS v4.0. Existe una vulnerabilidad de omisión de autorización mediante la modificación de referencias a objetos en la aplicación de gestión de fotos QuMagie de los dispositivos de almacenamiento NAS de QNAP. La deficiencia radica en que el sistema permite la omisión de los controles de acceso utilizando claves o identificadores que son manipulados directamente del lado del usuario. Un actor malicioso remoto no autenticado podría enviar solicitudes web modificadas para acceder a recursos restringidos y obtener privilegios no autorizados sobre el contenido de la plataforma.
CVE-2026-26236: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad por falta de control de autorización en la aplicación de gestión de fotografías QuMagie para dispositivos NAS de QNAP. La deficiencia radica en la ausencia de validaciones de seguridad específicas al procesar ciertas solicitudes entrantes, lo que permitiría a un actor malicioso remoto no autenticado evadir las restricciones de acceso de la plataforma.
CVE-2026-26237: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad por falta de control de autorización y exposición de información personal privada en la aplicación de gestión de fotografías QuMagie para dispositivos NAS de QNAP. La deficiencia radica en la ausencia de validaciones de seguridad adecuadas, lo que permitiría a un actor malicioso remoto no autenticado evadir los controles de acceso y exponer datos personales privados a agentes no autorizados.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias