CERTFR-2025-AVI-0981_Multiples vulnérabilités dans les produits Qnap

Multiples vulnérabilités dans les produits Qnap

CERTFR-2025-AVI-0981

• Atteinte à la confidentialité des données
• Contournement de la politique de sécurité
• Déni de service à distance
• Injection de code indirecte à distance (XSS)
• Injection de requêtes illégitimes par rebond (CSRF)
• Injection SQL (SQLi)
• Non spécifié par l'éditeur
• Élévation de privilèges

• Download Station versions 5.10.x pour QuTS hero h5.2.1 antérieures à 5.10.0.304 ( 2025/09/08 )
• Download Station versions 5.10.x pour QTS 5.2.1 antérieures à 5.10.0.305 ( 2025/09/16 )
• File Station 5 versions 5.5.x antérieures à 5.5.6.5018
• HBS 3 Hybrid Backup Sync versions 26.x antérieures à 26.2.0.938
• Hyper Data Protector versions 2.2.x antérieures à 2.2.4.1
• Malware Remover versions 6.6.x antérieures à 6.6.8.20251023
• Notification Center versions 1.9.x pour QTS 5.2.x et QuTS hero h5.2.x antérieures à 1.9.2.3163
• Notification Center versions 2.1.x pour QuTS hero h5.3.x antérieures à 2.1.0.3443
• Notification Center versions 3.0.x pour QuTS hero h5.6.x et QuTS hero h6.0.x antérieures à 3.0.0.3466
• Qsync Central versions 5.0.x antérieures à 5.0.0.3 ( 2025/08/28 )
• QTS versions 5.2.x antérieures à QTS 5.2.7.3297 build 20251024
• QuLog Center versions 1.8.x antérieures à 1.8.2.923 ( 2025/08/27 )
• QuMagie versions 2.6.x et 2.7.x antérieures à 2.7.3
• QuTS hero versions h5.2.x antérieures à h5.2.7.3297 build 20251024
• QuTS hero versions h5.3.x antérieures à h5.3.1.3292 build 20251024

De multiples vulnérabilités ont été découvertes dans les produits Qnap. Certaines d'entre elles permettent à un attaquant de provoquer une élévation de privilèges, un déni de service à distance et une injection SQL (SQLi).

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

• Bulletin de sécurité Qnap QSA-25-33 du 08 novembre 2025
• Bulletin de sécurité Qnap QSA-25-37 du 08 novembre 2025
• Bulletin de sécurité Qnap QSA-25-38 du 08 novembre 2025
• Bulletin de sécurité Qnap QSA-25-40 du 08 novembre 2025
• Bulletin de sécurité Qnap QSA-25-41 du 08 novembre 2025
• Bulletin de sécurité Qnap QSA-25-42 du 08 novembre 2025
• Bulletin de sécurité Qnap QSA-25-43 du 08 novembre 2025
• Bulletin de sécurité Qnap QSA-25-45 du 08 novembre 2025
• Bulletin de sécurité Qnap QSA-25-46 du 08 novembre 2025
• Bulletin de sécurité Qnap QSA-25-47 du 08 novembre 2025
• Bulletin de sécurité Qnap QSA-25-48 du 08 novembre 2025
• CVE-2025-11837
• CVE-2025-47207
• CVE-2025-52425
• CVE-2025-52865
• CVE-2025-53408
• CVE-2025-53409
• CVE-2025-53410
• CVE-2025-53411
• CVE-2025-53412
• CVE-2025-53413
• CVE-2025-54167
• CVE-2025-54168
• CVE-2025-57706
• CVE-2025-57712
• CVE-2025-58463
• CVE-2025-58464
• CVE-2025-58465
• CVE-2025-58469
• CVE-2025-59389
• CVE-2025-62840
• CVE-2025-62842
• CVE-2025-62847
• CVE-2025-62848
• CVE-2025-62849

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0981/