Alert GCSA-25072 - Vulnerabilita' in NAS QNAP
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-25072
data: 10 giugno 2025
titolo: Vulnerabilita' in NAS QNAP
******************************************************************
:: Descrizione del problema
QNAP ha rilasciato nuove versioni dei propri prodotti
con le quali risolve varie vulnerabilita'.
I device di questo tipo non dovrebbero essere esposti direttamente ad Internet,
ma essere raggiungibili solo via VPN, per impedire lo sfruttamento da remoto
di possibili vulnerabilita' o misconfiguration.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software / Dispositivi interessati
QTS versioni precedenti alla 5.2.4.3079 build 20250321
QuTS hero versioni precedenti alla h5.2.4.3079 build 20250321
QES versioni precedenti alla 2.2.1 build 20250304
Qsync Central versioni precedenti alla 4.5.0.6 (2025/03/20)
QuRouter versioni precedenti alla 2.5.0.140
File Station 5 versioni precedenti alla 5.5.6.4847
License Center versioni precedenti alla 1.9.49
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
Denial of Service (DoS)
Accesso a dati riservati (ID)
Attacco all'integrita' dei dati (Data Manipulation)
Bypass delle funzionalita' di sicurezza (SFB)
Cross-site Scripting (XSS)
:: Soluzioni
Aggiornare i prodotti alle ultime versioni
https://www.qnap.com/it-it/security-advisory/qsa-25-09
https://www.qnap.com/it-it/security-advisory/qsa-25-10
https://www.qnap.com/it-it/security-advisory/qsa-25-11
https://www.qnap.com/it-it/security-advisory/qsa-25-12
https://www.qnap.com/it-it/security-advisory/qsa-25-13
https://www.qnap.com/it-it/security-advisory/qsa-25-14
https://www.qnap.com/it-it/security-advisory/qsa-25-15
https://www.qnap.com/it-it/security-advisory/qsa-25-16
https://www.qnap.com/it-it/security-advisory/qsa-25-17
:: Riferimenti
QNAP Security Advisories
https://www.qnap.com/it-it/security-advisories
Riferimenti CVE
I riferimenti CVE sono disponibili nell'advisory originale.
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaEfbkA0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCWqcAnikz0b1+7C7JbiT71a887fYuhFzVAKC13oKdz1UU
jbpuR6BLi+bhb6xPWQ==
=7Rql
-----END PGP SIGNATURE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-25072
data: 10 giugno 2025
titolo: Vulnerabilita' in NAS QNAP
******************************************************************
:: Descrizione del problema
QNAP ha rilasciato nuove versioni dei propri prodotti
con le quali risolve varie vulnerabilita'.
I device di questo tipo non dovrebbero essere esposti direttamente ad Internet,
ma essere raggiungibili solo via VPN, per impedire lo sfruttamento da remoto
di possibili vulnerabilita' o misconfiguration.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software / Dispositivi interessati
QTS versioni precedenti alla 5.2.4.3079 build 20250321
QuTS hero versioni precedenti alla h5.2.4.3079 build 20250321
QES versioni precedenti alla 2.2.1 build 20250304
Qsync Central versioni precedenti alla 4.5.0.6 (2025/03/20)
QuRouter versioni precedenti alla 2.5.0.140
File Station 5 versioni precedenti alla 5.5.6.4847
License Center versioni precedenti alla 1.9.49
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
Denial of Service (DoS)
Accesso a dati riservati (ID)
Attacco all'integrita' dei dati (Data Manipulation)
Bypass delle funzionalita' di sicurezza (SFB)
Cross-site Scripting (XSS)
:: Soluzioni
Aggiornare i prodotti alle ultime versioni
https://www.qnap.com/it-it/security-advisory/qsa-25-09
https://www.qnap.com/it-it/security-advisory/qsa-25-10
https://www.qnap.com/it-it/security-advisory/qsa-25-11
https://www.qnap.com/it-it/security-advisory/qsa-25-12
https://www.qnap.com/it-it/security-advisory/qsa-25-13
https://www.qnap.com/it-it/security-advisory/qsa-25-14
https://www.qnap.com/it-it/security-advisory/qsa-25-15
https://www.qnap.com/it-it/security-advisory/qsa-25-16
https://www.qnap.com/it-it/security-advisory/qsa-25-17
:: Riferimenti
QNAP Security Advisories
https://www.qnap.com/it-it/security-advisories
Riferimenti CVE
I riferimenti CVE sono disponibili nell'advisory originale.
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaEfbkA0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCWqcAnikz0b1+7C7JbiT71a887fYuhFzVAKC13oKdz1UU
jbpuR6BLi+bhb6xPWQ==
=7Rql
-----END PGP SIGNATURE-----