QNAP紧急修复Pwn2Own 2025比赛中遭利用的7个0Day漏洞

QNAP已发布紧急安全通告,针对在知名Pwn2Own Ireland 2025赛事中成功攻陷QNAP网络附加存储(NAS)设备的七个0Day漏洞推出补丁。这套全面更新涵盖了核心操作系统和主要应用程序中的关键缺陷,包括重要的备份工具和恶意软件清除工具。

在Pwn2Own赛事现场,Summoning Team、DEVCORE、Team DDOS以及CyCraft技术实习生团队等多个顶级安全研究团队成功演示了漏洞利用过程。

漏洞影响范围与修复方案

1. 核心操作系统:QTS与QuTS hero

QNAP主要操作系统中发现多个漏洞(CVE-2025-62847、CVE-2025-62848、CVE-2025-62849)。虽然公告未明确提供CVSS评分,但0Day特性结合Pwn2Own成功攻陷的事实表明,这些漏洞可能导致高风险远程代码执行和数据泄露。

受影响产品 修复版本
QTS 5.2.x QTS 5.2.7.3297 build 20251024及后续版本
QuTS hero h5.2.x QuTS hero h5.2.7.3297 build 20251024及后续版本
QuTS hero h5.3.x QuTS hero h5.3.1.3292 build 20251024及后续版本

2. 备份与数据保护应用

两款核心数据保护工具存在漏洞:

  • HBS 3混合备份同步工具(CVE-2025-62840、CVE-2025-62842):该关键备份应用修复了多个漏洞。由于此工具处理所有备份任务,漏洞可能使攻击者获取历史数据和远程备份目标。26.1.x及更早版本用户必须升级至HBS 3 Hybrid Backup Sync 26.2.0.938或更高版本。
  • Hyper Data Protector(CVE-2025-59389) :该专用数据保护工具的漏洞已在2.2.4.1及后续版本中修复。

3. 恶意软件清除工具(CVE-2025-11837)

QNAP安全工具Malware Remover中发现0Day漏洞。6.6.x版本用户需升级至Malware Remover 6.6.8.20251023或更高版本。

这些漏洞已在受控环境中证实可被利用,意味着现实攻击者能快速将这些技术整合进攻击活动。鉴于NAS设备存储数据的高价值性,QNAP用户应立即安装固件和应用更新。

相关推荐
驭渊的小故事2 小时前
网络原理01(两千字解析)
网络
doiito2 小时前
【Web安全,微服务安全】HashiCorp Vault 项目深度分析报告
安全·微服务
一拳一个娘娘腔3 小时前
第八期:实战演练 —— 构建一个完整的攻击链(模拟)
安全
星幻元宇VR3 小时前
公共安全实训展厅设备【人防知识学习系统】
科技·学习·安全
想你依然心痛3 小时前
嵌入式Linux安全加固:SELinux、Capabilities与Seccomp——强制访问控制与沙箱
linux·运维·安全
HackTwoHub4 小时前
ARL灯塔重构版:支持APP/小程序/WEB资产同步扫描
人工智能·安全·web安全·网络安全·小程序·重构·自动化
KaMeidebaby4 小时前
卡梅德生物技术快报|小 RNA 适配体合成 + 多方法亲和力表征全流程标准化操作手册
前端·网络·数据库·人工智能·算法
MDM.Plus4 小时前
苹果MDM技术演进:从远程控制到设备信任体系的构建
运维·服务器·安全·ios·mdm·手机店
❀͜͡傀儡师5 小时前
2026年7月高危安全态势速览
安全
阿成学长_Cain6 小时前
Linux telinit 命令详解:运行级别切换|关机重启|系统维护一站式掌握
linux·运维·前端·网络