A QNAP lançou atualizações de segurança para abordar múltiplas vulnerabilidades que afetam seus sistemas operacionais NAS amplamente utilizados, incluindo QTS, QuTS hero, QuTS cloud e QVP (aparelhos QVR Pro). O advisory destaca uma série de falhas críticas que poderiam permitir que atacantes executassem comandos arbitrários, disparassem condições de negação de serviço (DoS) e burlassem controles de acesso.
Descoberta e escopo
As vulnerabilidades, divulgadas em 6 de abril de 2026, impactam versões QTS 5.2.7, QuTS hero h5.2.8, QuTS cloud c5.2.8 e QVP 2.7.1. A QNAP classificou as questões como severidade "Importante" e confirmou que todas as falhas relatadas foram resolvidas nas atualizações mais recentes de firmware.
Impacto e alcance
Entre as questões mais críticas estão várias vulnerabilidades de injeção de comando, incluindo CVE-2025-66273, CVE-2025-66279 e CVE-2026-22893. Essas falhas permitem que administradores autenticados injetem comandos de sistema arbitrários via parâmetros vulneráveis, como nomes de usuário ou entradas de API. A exploração bem-sucedida poderia resultar na execução completa de comandos nos dispositivos NAS afetados, potencialmente permitindo que atacantes manipulem arquivos, implantem malware ou se movam lateralmente dentro de redes internas.
Análise técnica detalhada
Notavelmente, o CVE-2026-22893 permite a execução de comandos com privilégios elevados, aumentando o risco geral. Além disso, o CVE-2025-59382 expõe uma vulnerabilidade de injeção de URL no mecanismo de redefinição de senha. Atacantes podem criar links de redefinição maliciosos e enganar usuários para que submetam credenciais em páginas controladas pelo atacante, levando ao roubo de credenciais.
Várias vulnerabilidades envolvem problemas de manipulação de memória, como estouro de pilha e buffer. Estes incluem CVE-2025-62858, CVE-2025-68405 e CVE-2026-26239 através de CVE-2026-26241. Por exemplo, CVE-2026-26240 e CVE-2026-26241 podem ser acionados por nomes de arquivo excessivamente longos durante o upload de arquivos, levando a crashes no componente utilRequest.CGI.
Medidas de mitigação recomendadas
A QNAP lançou atualizações de segurança para abordar as vulnerabilidades detalhadas no advisory QSA-26-10, atualizando QTS para versão 5.2.10, QuTS hero para h5.2.9, QuTS cloud para c5.2.9 e QVP para versão 2.8.0. Os usuários são fortemente aconselhados a atualizar seus sistemas imediatamente para mitigar riscos potenciais de exploração.
Para atualizar, os administradores devem fazer login na interface do dispositivo, navegar para a seção de atualização de firmware e aplicar a versão mais recente disponível. Alternativamente, o firmware pode ser baixado manualmente do Centro de Download da QNAP. Dada a presença de múltiplas falhas de injeção de comando e corrupção de memória, organizações usando dispositivos NAS QNAP devem priorizar o patch e monitorar atividades suspeitas.
O que os CISOs devem fazer imediatamente
Limitar o acesso administrativo, reforçar a autenticação forte e revisar os logs do sistema podem reduzir ainda mais a exposição. Com dispositivos NAS frequentemente expostos à internet, sistemas não corrigidos permanecem alvos atraentes para atacantes que buscam exfiltrar dados ou estabelecer um ponto de apoio na rede.