Alert GCSA-26021 - Vulnerabilita' in NAS QNAP
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-26021
data: 13 febbraio 2026
titolo: Vulnerabilita' in NAS QNAP
******************************************************************
:: Descrizione del problema
QNAP ha rilasciato nuove versioni dei propri prodotti
con le quali risolve varie vulnerabilita'.
E' consigliabile non esporre device di questo tipo direttamente ad Internet,
ma utilizzare connessioni VPN, per mitigare lo sfruttamento di possibili
vulnerabilita' o misconfiguration.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software / Dispositivi interessati
QTS versioni precedenti alla 5.2.8.3350 build 20251216
QuTS hero versioni precedenti alla h5.2.8.3350 build 20251216
QuTS hero versioni precedenti alla h5.3.2.3354 build 20251225
Qsync Central versioni precedenti alla 5.0.0.4
File Station versioni precedenti alla 5.5.6.5190
greffon Media Streaming versioni precedenti alla 500.1.1.6
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
Denial of Service (DoS)
Accesso a dati riservati (ID)
Attacco all'integrita' dei dati (Data Manipulation)
Bypass delle funzionalita' di sicurezza (SFB)
:: Soluzioni
Aggiornare i prodotti alle ultime versioni
https://www.qnap.com/it-it/security-advisory/qsa-25-57
https://www.qnap.com/it-it/security-advisory/qsa-26-02
https://www.qnap.com/it-it/security-advisory/qsa-26-03
https://www.qnap.com/it-it/security-advisory/qsa-26-04
https://www.qnap.com/it-it/security-advisory/qsa-26-05
https://www.qnap.com/it-it/security-advisory/qsa-26-06
https://www.qnap.com/it-it/security-advisory/qsa-26-08
:: Riferimenti
QNAP Security Advisories
https://www.qnap.com/it-it/security-advisories
Riferimenti CVE
I riferimenti CVE sono disponibili nell'advisory originale.
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaY87hA0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCKuEAoNKvssMoTTC+0yNv4BeVmkKkb8/zAJ9yPLS7P36j
KfE4QXZaN2jwIzBexQ==
=2qYK
-----END PGP SIGNATURE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-26021
data: 13 febbraio 2026
titolo: Vulnerabilita' in NAS QNAP
******************************************************************
:: Descrizione del problema
QNAP ha rilasciato nuove versioni dei propri prodotti
con le quali risolve varie vulnerabilita'.
E' consigliabile non esporre device di questo tipo direttamente ad Internet,
ma utilizzare connessioni VPN, per mitigare lo sfruttamento di possibili
vulnerabilita' o misconfiguration.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software / Dispositivi interessati
QTS versioni precedenti alla 5.2.8.3350 build 20251216
QuTS hero versioni precedenti alla h5.2.8.3350 build 20251216
QuTS hero versioni precedenti alla h5.3.2.3354 build 20251225
Qsync Central versioni precedenti alla 5.0.0.4
File Station versioni precedenti alla 5.5.6.5190
greffon Media Streaming versioni precedenti alla 500.1.1.6
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
Denial of Service (DoS)
Accesso a dati riservati (ID)
Attacco all'integrita' dei dati (Data Manipulation)
Bypass delle funzionalita' di sicurezza (SFB)
:: Soluzioni
Aggiornare i prodotti alle ultime versioni
https://www.qnap.com/it-it/security-advisory/qsa-25-57
https://www.qnap.com/it-it/security-advisory/qsa-26-02
https://www.qnap.com/it-it/security-advisory/qsa-26-03
https://www.qnap.com/it-it/security-advisory/qsa-26-04
https://www.qnap.com/it-it/security-advisory/qsa-26-05
https://www.qnap.com/it-it/security-advisory/qsa-26-06
https://www.qnap.com/it-it/security-advisory/qsa-26-08
:: Riferimenti
QNAP Security Advisories
https://www.qnap.com/it-it/security-advisories
Riferimenti CVE
I riferimenti CVE sono disponibili nell'advisory originale.
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaY87hA0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCKuEAoNKvssMoTTC+0yNv4BeVmkKkb8/zAJ9yPLS7P36j
KfE4QXZaN2jwIzBexQ==
=2qYK
-----END PGP SIGNATURE-----