Detectadas varias vulnerabilidades importantes en productos de QNAP
- QTS, versiones 5.2.x y QuTS hero versiones h5.2.x;
- File Station, versiones 5.5.x;
- Qsync Central, versiones 4.5.x;
- QES, versión 2.2.0;
- QuRouter, versiones 2.4.x y 2.5.x;
- License Center, versiones 1.9.x.
Se han detectado múltiples vulnerabilidades en varios productos QNAP de severidad alta. Una explotación con éxito de estas vulnerabilidades puede poner en riesgo la integridad de los sistemas y la información confidencial. Se recomienda actualizar a la última versión de firmware indicada por el fabricante para cada tipo de producto afectado.
QNAP ha detectado y corregido las diferentes vulnerabilidades en varios de sus productos, recomienda a sus usuarios actualizar a las últimas versiones de firmware disponibles.
- QTS, versiones versión 5.2.4.3079 de 20250321 y posteriores y QuTS hero, versión h5.2.4.3079 de 20250321 y posteriores;
- File Station, versión 5.5.6.4847 y posteriores;
- Qsync Central, versión 4.5.0.6 (2025/03/20) y posteriores;
- QES, versión 2.2.1 de 20250304 y posteriores;
- QuRouter, versión 2.5.0.140 y posteriores;
- License Center, versión 1.9.49 y posteriores.
Para mantener una mayor seguridad y protección es crucial para las empresas mantener los sistemas y aplicaciones actualizados a la última versión de firmware.
La exposición a estas vulnerabilidades puede traer graves consecuencias para la seguridad de la organización, como acceso y robo de información confidencial o sensibles, comprometer los sistemas u omitir mecanismos de seguridad. Por ello, es importante mantener las aplicaciones y sistemas de la compañía actualizados.
Las nueve vulnerabilidades detectadas y corregidas por QNAP se clasifican, seis de ellas de severidad importante y las tres restantes moderada. Su explotación exitosa por parte de ciberdelincuentes podría permitirles acceder a los sistemas de manera remota, ejecutar código malicioso y omitir mecanismos de seguridad.
Adicionalmente, se describen otras vulnerabilidades que permiten mediante acceso a cuenta de usuario, acceder a datos de manera no autorizada o realizar un desbordamiento de búfer con la posibilidad de bloquear procesos o modificar la memoria, leer contenido de archivos o datos de sistema, así como realizar ataques de denegación de servicio (DoS).