QNAP

QNAPは、Pwn2Own Ireland 2025コンペティションでセキュリティ研究者がQNAPネットワーク接続ストレージ(NAS)デバイスをハッキングするために悪用した7件のゼロデイ脆弱性を修正した。

この欠陥はQNAPのQTSおよびQuTS heroオペレーティングシステム(CVE-2025-62847、CVE-2025-62848、CVE-2025-62849)、および同社のHyper Data Protector(CVE-2025-59389)、Malware Remover(CVE-2025-11837)、HBS 3 Hybrid Backup Sync(CVE-2025-62840、CVE-2025-62842)ソフトウェアに影響する。

QNAPは金曜日に発表したアドバイザリで、セキュリティバグはSummoning Team、DEVCORE、Team DDOS、およびCyCraftの技術インターンによってPwn2Ownで実証されたと述べた。

Wiz

これらのセキュリティ欠陥を修正するため、QNAPはソフトウェアを最新バージョンに更新し、セキュリティを高めるためにすべてのパスワードを変更することを推奨する。

QNAPは以下のソフトウェアバージョンでこれらの脆弱性をすべて修正しました:

  • ハイパーデータプロテクター2.2.4.1およびそれ以降
  • Malware Remover 6.6.8.20251023以降
  • HBS 3 Hybrid Backup Sync 26.2.0.938以降
  • QTS 5.2.7.3297ビルド20251024以降
  • QuTS hero h5.2.7.3297ビルド20251024以降
  • QuTS hero h5.3.1.3292 ビルド 20251024 以降

QTSまたはQuTS Heroに管理者としてログインしてOSをアップデートしたいユーザーは、「コントロールパネル」>「システム」>「ファームウェアアップデート」の順に進み、「ライブアップデート」の「アップデートの確認」をクリックしてください。

脆弱性のあるアプリをアップデートするには、まず管理者としてQTSまたはQuTS heroにログインし、App Centerを開いて検索ボタンをクリックします。アップデートしたいアプリの名前を入力し、ENTERキーを押します。検索結果で「アップデート」をクリックし、表示される確認メッセージで「OK」をクリックして操作を確定します。

“デバイスの安全性を確保するため、脆弱性修正の恩恵を受けるために、システムを定期的に最新バージョンにアップデートすることをお勧めします。お使いのNASモデルで利用可能な最新のアップデートを確認するには、製品のサポート状況をチェックすることができます」とQNAPは述べています

1年前、NASメーカーはPwn2Own Ireland 2024コンテストで悪用された他の2つのゼロデイにパッチを当てました。ハイブリッド・バックアップ・シンク災害復旧・データバックアップソリューションのOSコマンドインジェクションの脆弱性(CVE-2024-50388)と、QNAPのSMBサービスのSQLインジェクション(SQLi)の脆弱性(CVE-2024-50387)です。

また本日、QNAPはQuMagie 2.7.0をリリースし、写真管理および共有ソリューションの重大なSQLi脆弱性(CVE-2025-52425)に対するパッチを適用しました。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


Wiz

秘密 セキュリティ・チートシート:スプロールからコントロールへ

古いキーのクリーンアップでも、AIが生成するコードのガードレールの設定でも、このガイドはチームが最初からセキュアに構築するのに役立ちます。

チートシートを入手して、秘密管理の手間を省きましょう。