Vulnerabilidad en QNAP (CVE-2025-66277)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-59
Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
11/02/2026
Última modificación:
12/02/2026
Descripción
Se ha informado de una vulnerabilidad de seguimiento de enlaces que afecta a varias versiones del sistema operativo QNAP. Los atacantes remotos pueden entonces explotar la vulnerabilidad para recorrer el sistema de archivos a ubicaciones no deseadas.<br />
<br />
Ya hemos corregido la vulnerabilidad en las siguientes versiones:<br />
QTS 5.2.8.3350 build 20251216 y posteriores<br />
QuTS hero h5.3.2.3354 build 20251225 y posteriores<br />
QuTS hero h5.2.8.3350 build 20251216 y posteriores
Impacto
Puntuación base 4.0
9.20
Gravedad 4.0
CRÍTICA
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:qnap:qts:5.2.0.2737:build_20240417:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.0.2744:build_20240424:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.0.2782:build_20240601:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.0.2802:build_20240620:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.0.2823:build_20240711:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.0.2851:build_20240808:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.0.2860:build_20240817:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.1.2930:build_20241025:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.2.2950:build_20241114:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.3.3006:build_20250108:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.4.3070:build_20250312:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.4.3079:build_20250321:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.4.3092:build_20250403:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.5.3145:build_20250526:*:*:*:*:*:* | ||
| cpe:2.3:o:qnap:qts:5.2.6.3195:build_20250715:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página