Kritische Sicherheitslücken in Qnaps NAS-Software

Durch Sicherheitslücken in Qnaps NAS-Systemen können Angreifer die Kontrolle über das System erlangen. Für dieses Problem wurden bereits Sicherheitsupdates veröffentlicht. Besitzern einer solchen NAS wird empfohlen, ihr System schnellstmöglich zu aktualisieren.

Die als „kritisch” eingestufte Sicherheitslücke (CVE-2026-22898) gilt als die gefährlichste, da sie es Angreifern ermöglicht, aus der Entfernung auf das System zuzugreifen. Dies geht aus einer Warnmeldung in der IP-Videoüberwachungssoftware QVR Pro hervor. Die Entwickler versichern, diese Schwachstelle in QVR Pro 2.7.4.1485 geschlossen zu haben.

Qnap stuft vier weitere Lücken in QuNetSwitch (ADRA NDR) als „kritisch” ein. Angreifer können aufgrund von hartcodierten Zugangsdaten auf Netzwerkspeicher zugreifen (CVE-2026-22900, „mittel”). Über die verbleibenden Sicherheitslücken können Angreifer eigene Befehle ausführen (CVE-2026-22901, „mittel”). Admins wird empfohlen, QuNetSwitch 2.0.4.0415 oder QuNetSwitch 2.0.5.0906 zu installieren.

Eine weitere Sicherheitslücke (CVE-2025-62845, „mittel“) gibt es in Qnaps QuRouter. Angreifer können dadurch ebenfalls Schadcodes ausführen, dafür benötigen sie jedoch bereits Adminrechte. Laut den Entwicklern wurde dieses Problem in QuRouter 2.6.3.009 behoben.