QNAP Systems,Inc. 发布了补丁,解决了 Qsync Central 和 File Station 5 应用程序中的多个高严重性漏洞,一旦被利用,远程攻击者可以执行未经授权的代码、破坏用户数据或纵系统内存。这些漏洞在最近的安全公告中进行了详细说明,现在已在受影响软件的最新版本中得到解决。
在 Qsync Central 4.5.x 中报告了两个安全性问题:
- CVE-2025-29892 (CVSSv4 8.7):具有用户级访问权限的远程攻击者可利用此缺陷运行任意 SQL 命令,从而可能导致整个数据库泄露或代码执行。
- CVE-2025-22482 (CVSSv4 2.3):利用此漏洞可能允许攻击者读取秘密数据或修改内存,尽管它需要访问用户帐户。
“如果远程攻击者获得了对用户帐户的访问权限,他们就可以利用该漏洞执行未经授权的代码或命令,”该公告警告说。
所有 Qsync Central 4.5.x 用户请立即通过 QTS/QuTS hero 的 App Center 更新至 4.5.0.6 或以上版本。
QNAP 还解决了 File Station 5 中四个不正确的证书验证漏洞,所有漏洞的严重性都很高:
- CVE-2025-22486 – CVSSv4 7.1
- CVE-2025-29883、CVE-2025-29884、CVE-2025-29885 – 所有 CVSSv4 8.3
这些问题可能允许具有用户帐户访问权限的攻击者绕过安全协议、拦截通信或冒充受信任的服务,从而对数据的机密性和完整性构成风险。
“如果远程攻击者获得了对用户帐户的访问权限,他们就可以利用这些漏洞来破坏系统的安全性,”该公告解释说。
通过 App Center 更新至 File Station 5 的最新版本 (5.5.6.4791 及更高版本),以关闭所有已知的证书验证漏洞。
如何更新
- 以管理员身份登录 QTS 或 QuTS hero。
- 打开 App Center。
- 搜索 “Qsync Central” 或 “File Station 5”。
- 单击 Update (如果可用) 并确认。
- 等待应用程序完成更新。
发表评论
您还未登录,请先登录。
登录