Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
- Injection SQL (SQLi)
- Non spécifié par l'éditeur
Systèmes affectés
- File Station 5 versions 5.5.x antérieures à 5.5.6.4847
- License Center versions 1.9.x antérieures à 1.9.49
- QES versions 2.2.x antérieures à 2.2.1 build 20250304
- Qsync Central versions 4.5.x antérieures à 4.5.0.6
- QTS versions 5.2.x antérieures à 5.2.4.3079 build 20250321
- QuRouter versions 2.4.x et 2.5.x antérieures à 2.5.0.140
- QuTS hero versions h5.2.x antérieures à h5.2.4.3079 build 20250321
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Qnap. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Qnap QSA-25-09 du 07 juin 2025 https://www.qnap.com/go/security-advisory/qsa-25-09
- Bulletin de sécurité Qnap QSA-25-10 du 07 juin 2025 https://www.qnap.com/go/security-advisory/qsa-25-10
- Bulletin de sécurité Qnap QSA-25-11 du 07 juin 2025 https://www.qnap.com/go/security-advisory/qsa-25-11
- Bulletin de sécurité Qnap QSA-25-12 du 07 juin 2025 https://www.qnap.com/go/security-advisory/qsa-25-12
- Bulletin de sécurité Qnap QSA-25-13 du 07 juin 2025 https://www.qnap.com/go/security-advisory/qsa-25-13
- Bulletin de sécurité Qnap QSA-25-14 du 07 juin 2025 https://www.qnap.com/go/security-advisory/qsa-25-14
- Bulletin de sécurité Qnap QSA-25-15 du 07 juin 2025 https://www.qnap.com/go/security-advisory/qsa-25-15
- Bulletin de sécurité Qnap QSA-25-16 du 07 juin 2025 https://www.qnap.com/go/security-advisory/qsa-25-16
- Bulletin de sécurité Qnap QSA-25-17 du 07 juin 2025 https://www.qnap.com/go/security-advisory/qsa-25-17
- Référence CVE CVE-2023-28370 https://www.cve.org/CVERecord?id=CVE-2023-28370
- Référence CVE CVE-2024-13087 https://www.cve.org/CVERecord?id=CVE-2024-13087
- Référence CVE CVE-2024-13088 https://www.cve.org/CVERecord?id=CVE-2024-13088
- Référence CVE CVE-2024-50406 https://www.cve.org/CVERecord?id=CVE-2024-50406
- Référence CVE CVE-2024-56805 https://www.cve.org/CVERecord?id=CVE-2024-56805
- Référence CVE CVE-2024-6387 https://www.cve.org/CVERecord?id=CVE-2024-6387
- Référence CVE CVE-2025-22481 https://www.cve.org/CVERecord?id=CVE-2025-22481
- Référence CVE CVE-2025-22482 https://www.cve.org/CVERecord?id=CVE-2025-22482
- Référence CVE CVE-2025-22484 https://www.cve.org/CVERecord?id=CVE-2025-22484
- Référence CVE CVE-2025-22485 https://www.cve.org/CVERecord?id=CVE-2025-22485
- Référence CVE CVE-2025-22486 https://www.cve.org/CVERecord?id=CVE-2025-22486
- Référence CVE CVE-2025-22490 https://www.cve.org/CVERecord?id=CVE-2025-22490
- Référence CVE CVE-2025-26465 https://www.cve.org/CVERecord?id=CVE-2025-26465
- Référence CVE CVE-2025-26466 https://www.cve.org/CVERecord?id=CVE-2025-26466
- Référence CVE CVE-2025-29871 https://www.cve.org/CVERecord?id=CVE-2025-29871
- Référence CVE CVE-2025-29872 https://www.cve.org/CVERecord?id=CVE-2025-29872
- Référence CVE CVE-2025-29873 https://www.cve.org/CVERecord?id=CVE-2025-29873
- Référence CVE CVE-2025-29876 https://www.cve.org/CVERecord?id=CVE-2025-29876
- Référence CVE CVE-2025-29877 https://www.cve.org/CVERecord?id=CVE-2025-29877
- Référence CVE CVE-2025-29883 https://www.cve.org/CVERecord?id=CVE-2025-29883
- Référence CVE CVE-2025-29884 https://www.cve.org/CVERecord?id=CVE-2025-29884
- Référence CVE CVE-2025-29885 https://www.cve.org/CVERecord?id=CVE-2025-29885
- Référence CVE CVE-2025-29892 https://www.cve.org/CVERecord?id=CVE-2025-29892
- Référence CVE CVE-2025-30279 https://www.cve.org/CVERecord?id=CVE-2025-30279
- Référence CVE CVE-2025-33031 https://www.cve.org/CVERecord?id=CVE-2025-33031
- Référence CVE CVE-2025-33035 https://www.cve.org/CVERecord?id=CVE-2025-33035
