CVE-2026-41539
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
09/06/2026
Última modificación:
30/06/2026
Descripción
*** Pendiente de traducción *** A cross-site scripting (XSS) vulnerability has been reported to affect several QNAP operating system versions. The remote attackers can then exploit the vulnerability to bypass security mechanisms or read application data.<br />
<br />
We have already fixed the vulnerability in the following versions:<br />
QTS 5.2.9.3492 build 20260507 and later<br />
QuTS hero h5.2.9.3499 build 20260514 and later<br />
QuTS hero h5.3.4.3500 build 20260520 and later<br />
QuTS hero h6.0.0.3500 build 20260520 and later
Impacto
Puntuación base 4.0
6.30
Gravedad 4.0
MEDIA
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:qnap:qts:5.2.0.2737:build_20240417:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.0.2744:build_20240424:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.0.2782:build_20240601:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.0.2802:build_20240620:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.0.2823:build_20240711:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.0.2851:build_20240808:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.0.2860:build_20240817:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.1.2930:build_20241025:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.2.2950:build_20241114:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.3.3006:build_20250108:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.4.3070:build_20250312:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.4.3079:build_20250321:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.4.3092:build_20250403:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.5.3145:build_20250526:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.6.3195:build_20250715:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página



