Το QNAP έχει επιδιορθώσει πολλαπλές ευπάθειες ασφαλείας στην εφαρμογή του Κέντρου αδειών χρήσης που θα μπορούσαν να επιτρέψουν στους εισβολείς να έχουν πρόσβαση σε ευαίσθητες πληροφορίες ή να διακόψουν τις υπηρεσίες στις επηρεαζόμενες συσκευές NAS.
Τα ζητήματα, που παρακολουθούνται ως CVE-2025-52871 και CVE-2025-53597, αποκαλύφθηκαν στις 3 Ιανουαρίου 2026.
Η QNAP αξιολόγησε τα ελαττώματα ως μέτριας σοβαρότητας και επιβεβαίωσε ότι τα ζητήματα έχουν επιλυθεί στις τελευταίες εκδόσεις. Τα τρωτά σημεία επηρεάζουν το License Center 2.0.x, ένα στοιχείο που χρησιμοποιείται για τη διαχείριση της αδειοδότησης σε συστήματα QNAP.
Ενώ τα σφάλματα δεν περιγράφονται ως απομακρυσμένα εκμεταλλεύσεις χωρίς έλεγχο ταυτότητας, το QNAP σημειώνει ότι ένας εισβολέας θα χρειαζόταν πρώτα πρόσβαση σε έναν έγκυρο λογαριασμό.
Αυτό καθιστά την κλοπή διαπιστευτηρίων, τους αδύναμους κωδικούς πρόσβασης ή τις εκτεθειμένες πύλες διαχειριστών βασικούς παράγοντες κινδύνου.
Επισκόπηση των ελαττωμάτων ασφαλείας
Το CVE-2025-52871 είναι μια ευπάθεια ανάγνωσης εκτός ορίων. Σύμφωνα με το QNAP, εάν ένας απομακρυσμένος εισβολέας αποκτήσει πρόσβαση σε έναν λογαριασμό χρήστη, μπορεί να εκμεταλλευτεί το ελάττωμα για να αποκτήσει μυστικά δεδομένα.
| Αναγνωριστικό CVE | Τύπος ευπάθειας | Προϊόν που επηρεάζεται | Σύγκρουση |
|---|---|---|---|
| CVE-2025-52871 | Εκτός ορίων Διαβάστε | Κέντρο αδειών 2.0.x | Ένας απομακρυσμένος εισβολέας με λογαριασμό διαχειριστή μπορεί να τροποποιήσει τη μνήμη ή να διακόψει τις διαδικασίες |
| CVE-2025-53597 | Υπερχείλιση buffer | Κέντρο αδειών 2.0.x | Ένας απομακρυσμένος εισβολέας με λογαριασμό διαχειριστή μπορεί να τροποποιήσει τη μνήμη ή να διακόψει τις διαδικασίες |
Τα ζητήματα ανάγνωσης εκτός ορίων επιτρέπουν συνήθως την ακούσια αποκάλυψη μνήμης, η οποία μπορεί να εκθέσει διακριτικά, κλειδιά ή άλλες ευαίσθητες τιμές ανάλογα με το τι είναι αποθηκευμένο στη μνήμη κατά την εκτέλεση.
Το CVE-2025-53597 είναι μια ευπάθεια υπερχείλισης buffer. Το QNAP δηλώνει ότι εάν ένας απομακρυσμένος εισβολέας αποκτήσει πρόσβαση σε έναν λογαριασμό διαχειριστή.
Θα μπορούσαν να το εκμεταλλευτούν για να τροποποιήσουν τη μνήμη ή να διακόψουν διαδικασίες, ενδεχομένως προκαλώντας αστάθεια ή άρνηση παροχής υπηρεσιών στα επηρεαζόμενα συστήματα. Το QNAP έχει διορθώσει τα τρωτά σημεία στο Κέντρο Άδειας Χρήσης 2.0.36 και νεότερη έκδοση.
Οι οργανισμοί και οι οικικοί χρήστες που εκτελούν το License Center 2.0.x θα πρέπει να ενημερώνονται αμέσως, ειδικά εάν το NAS είναι προσβάσιμο από το διαδίκτυο ή είναι κοινόχρηστο σε πολλούς χρήστες.
Πρόσβαση στη διεπαφή διαχείρισης ηρώων QTS ή QuTS και έλεγχος ταυτότητας με δικαιώματα διαχειριστή. Μεταβείτε στο App Center από το μενού συστήματος.
Στο App Center, χρησιμοποιήστε τη λειτουργία αναζήτησης για να εντοπίσετε το Κέντρο αδειών χρήσης. Επιλέξτε την εφαρμογή και κάντε κλικ στην Ενημέρωση. Επιβεβαιώστε την ενημέρωση όταν σας ζητηθεί να ολοκληρώσετε τη διαδικασία. Η QNAP πίστωσε στην Coral αναφοράς τα ζητήματα.
