La compañía taiwanesa QNAP, reconocida por sus soluciones de almacenamiento en red (NAS) y productos relacionados, se encuentra bajo la lupa tras descubrirse dos vulnerabilidades graves: una de evasión de autenticación y otra de path traversal.

Estas fallas, catalogadas como CVE-2025-52856 y CVE-2025-52861, impactan al componente QVR de VioStor NVR en su versión heredada (legacy), particularmente en la rama 5.1.x, según detalla el boletín oficial de seguridad publicado por la empresa.

CVE-2025-52856: autenticación comprometida

La primera vulnerabilidad radica en el sistema de autenticación del firmware QVR (VioStor). Este fallo permite a atacantes externos burlar por completo los controles de acceso, ingresando sin credenciales válidas ni medidas adicionales como autenticación multifactor.
El exploit opera a nivel de aplicación y, combinado con otros ataques, puede facilitar un acceso profundo al sistema.

CVE-2025-52861: acceso indebido a archivos

El segundo error de seguridad se activa cuando un atacante remoto obtiene credenciales administrativas. En ese escenario, es posible aprovechar la falla para acceder a archivos y datos restringidos mediante técnicas de path traversal, como la manipulación de rutas con ../.
Si se logra explotar con éxito, la información filtrada podría incluir credenciales sensibles o configuraciones críticas del servidor, lo que incrementa el riesgo de un compromiso total de la infraestructura afectada.

Versiones impactadas y mitigación

Los sistemas vulnerables corresponden a la línea QVR 5.1.x. QNAP ya ha puesto a disposición la versión 6.1.6 (20250621) o superior, que corrige el problema. Para aplicar el parche, la compañía recomienda:

  1. Iniciar sesión en VioStor NVR con permisos de administrador.
  2. Acceder a Panel de control → Configuración del sistema → Actualización del firmware.
  3. Subir el archivo de actualización desde la URL oficial de QNAP.
  4. Ejecutar la instalación haciendo clic en Actualizar sistema.

La empresa aconseja que todos los usuarios cuyos entornos se vean afectados actualicen cuanto antes para evitar que sus dispositivos NAS se conviertan en un vector de ataque crítico.

unaaldia.hispasec[.]com

You May Also Like

Malware simula instalar «Google Translate Desktop» y otras aplicaciones sin versiones de escritorio 

wpadmin001

Hackers rusos emplean el malware ‘WINELOADER’ para atacar partidos políticos alemanes

HKN FEED

Vulnerabilidad zero-day permite ataques activos a exchange

wpadmin001