CERTFR-2025-AVI-0188_Multiples vulnérabilités dans les produits Qnap

AVIS CERT

Publié le 10 mars 2025 à 16h49

Objet

Multiples vulnérabilités dans les produits Qnap

Référence

CERTFR-2025-AVI-0188

Risques

  • Exécution de code arbitraire à distance
  • Atteinte à l'intégrité des données
  • Non spécifié par l'éditeur
  • Contournement de la politique de sécurité
  • Atteinte à la confidentialité des données

Systèmes affectés

  • HBS 3 Hybrid Backup Sync versions 25.1.x antérieures à 25.1.4.952
  • QuTS hero versions h5.1.x antérieures à h5.1.9.2954 build 20241120
  • QuLog Center versions 1.8.x antérieures à 1.8.0.888
  • File Station versions 5.5.x antérieures à 5.5.6.4741
  • QTS versions 5.1.x antérieures à 5.1.9.2954 build 20241120
  • Helpdesk versions 3.3.x antérieurs à 3.3.3
  • QuRouter versions 2.4.x antérieures à 2.4.6.028
  • QVPN Device Client versions 2.2.x antérieures à 2.2.5 pour Mac
  • QTS versions 5.2.x antérieures à 5.2.3.3006 build 20250108
  • QTS versions 4.5.x antérieures à 4.5.4.2957 build 20241119
  • QuTS hero versions h4.5.x antérieures à h4.5.4.2956 build 20241119
  • QuLog Center versions 1.7.x antérieures à 1.7.0.829
  • Qsync Client versions 5.1.x antérieures à 5.1.3 pour Mac
  • QuTS hero versions h5.2.x antérieures à h5.2.3.3006 build 20250108
  • Qfinder Pro Mac versions 7.11.x antérieures à 7.11.1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Qnap. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une atteinte à l'intégrité des données.

Documentation

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0188/