Qnap Authenticator et d’autres produits vulnérables aux bugs

Qnap NAS

Qnap lance des correctifs pour divers problèmes de sécurité dans ses produits. Les bugs affectent Authenticator ainsi que diverses applications au sein de l’écosystème NAS.

Qnap a corrigé des failles de sécurité dans différentes versions de ses produits. Ces vulnérabilités ont un impact sur divers produits de Qnap, notamment Qnap Authenticator, Video Station, Qsync Central, QTS, QuTS hero et NetBak Replicator. Il est conseillé aux utilisateurs d’installer les dernières versions des produits concernés afin de se protéger contre d’éventuelles attaques.

Divers problèmes

Les vulnérabilités varient des injections SQL et des problèmes de parcours de chemin aux problèmes de mémoire qui peuvent entraîner des attaques DoS ou un accès non autorisé. Différentes versions des produits Qnap, tels que Qnap Authenticator, Video Station et Qsync Central, doivent être corrigées. Toutes les vulnérabilités sont désormais résolues dans les versions les plus récentes des produits concernés.

  • Qnap Authenticator (ID: QSA-25-30) : Une vulnérabilité dans Qnap Authenticator 1.3.x permet aux attaquants ayant un accès physique à l’appareil de compromettre le système. Ce problème est résolu dans la version 1.3.1.1227 et supérieure.
  • Video Station (ID: QSA-25-32) : Un problème d’injection SQL dans Video Station 5.8.x permet aux attaquants d’exécuter du code non autorisé. Ceci est résolu dans la version 5.8.4 et supérieure.
  • Qsync Central (ID: QSA-25-34 & QSA-25-35) : Qsync Central 4.x et 5.0.0 contiennent plusieurs vulnérabilités, notamment le parcours de chemin, l’allocation de ressources sans limites et la déréférence de pointeur NULL, qui peuvent entraîner des attaques DoS ou un accès non autorisé. Ceux-ci sont résolus respectivement dans la version 5.0.0.1 et la version 5.0.0.2.
  • QTS et QuTS hero (ID: QSA-25-36) : Plusieurs vulnérabilités ont été signalées dans QTS 5.2.x et QuTS hero h5.2.x, notamment le parcours de chemin, l’injection de commandes et la déréférence de pointeur NULL, qui offrent aux attaquants la possibilité de consulter les données du système, d’exécuter des commandes non autorisées ou de lancer une attaque DoS. Ces vulnérabilités sont résolues dans la version 5.2.6.3195 (2025/07/15) ou ultérieure.
  • NetBak Replicator (ID: QSA-25-39) : Un problème dans NetBak Replicator 4.5.x permet aux attaquants locaux d’exécuter du code non autorisé. Ce problème est résolu dans la version 4.5.15.0807 et supérieure.

Qnap conseille à tous les utilisateurs des produits concernés d’installer les dernières versions.