Qnap löst kritische Sicherheitsprobleme in NAS-Software

Mehrere Softwareschwachstellen gefährden NAS-Systeme von Qnap. Angreifer können auf Geräte zugreifen und im schlimmsten Fall die volle Kontrolle erlangen. Sicherheitspatches schaffen Abhilfe. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Wer ein Qnap-NAS besitzt, sollte sicherstellen, dass alle installierten Komponenten auf dem aktuellen Stand sind.

Wie aus dem Sicherheitsbereich der Qnap-Website hervorgeht, betreffen die Sicherheitsprobleme die Komponenten Media Streaming Add-on, QuFTP Service, QuNetSwitch (ADRA NDR), QuRouter und QVR Pro.

Verschiedene Attacken vorstellbar

Am gefährlichsten gilt eine „kritische“ Lücke (CVE-2026-22898) in der IP-Videoüberwachungssoftware QVR Pro. Weil einer Warnmeldung zufolge die Authentifizierung im Kontext einer kritischen, nicht näher beschriebenen Funktion fehlt, können entfernte Angreifer Zugriff auf Systeme erlangen. Die Entwickler versichern, die Schwachstelle in QVR Pro 2.7.4.1485 geschlossen zu haben.

Die von vier Lücken in QuNetSwitch (ADRA NDR) ausgehende Gefahr schätzt Qnap als „kritisch“ ein. Hier können Angreifer unter anderem aufgrund von hartcodierten Zugangsdaten auf Netzwerkspeicher zugreifen (CVE-2026-22900 „mittel“). Durch das erfolgreiche Ausnutzen der verbleibenden Schwachstellen können Angreifer unter anderem eigene Befehle ausführen (etwa CVE-2026-22901 „mittel“). An dieser Stelle müssen Admins QuNetSwitch 2.0.4.0415 oder QuNetSwitch 2.0.5.0906 installieren.

Für die Sicherheitslücken in QuRouter vergibt Qnap ebenfalls eine kritische Einstufung. Auch hier kann es zur Ausführung von Schadcode kommen. Dafür benötigen lokale Angreifer aber bereits Adminrechte (etwa CVE-2025-62845 „mittel“). Die Entwickler geben an, QuRouter 2.6.3.009 repariert zu haben.

(des)