CVE-2025-59385: QNAP Systems Inc. QTS 中的 CWE-290 漏洞

严重性：高 类型：漏洞

CVE-2025-59385

已报告一个通过欺骗实现身份验证绕过的漏洞影响多个 QNAP 操作系统版本。远程攻击者随后可利用该漏洞访问那些在没有适当身份验证时无法访问的资源。

我们已在以下版本中修复了该漏洞：

• QTS 5.2.7.3297 build 20251024 及更高版本
• QuTS hero h5.2.7.3297 build 20251024 及更高版本
• QuTS hero h5.3.1.3292 build 20251024 及更高版本

AI 分析

技术摘要

CVE-2025-59385 是一个被归类为 CWE-290 的身份验证绕过漏洞，在 QNAP Systems Inc. 的 QTS 操作系统中发现， specifically affecting version 5.2.x. 该漏洞使远程攻击者能够欺骗身份验证机制，绕过正常的访问控制，且无需任何权限或用户交互。利用发生在网络上（AV:N），攻击复杂度低（AC:L），且无需身份验证（AT:N）。该漏洞通过允许未经授权访问本应受保护的资源，严重危害机密性、完整性和可用性（VC:H/VI:H/VA:H）。这可能导致数据盗窃、未经授权的配置更改或 QNAP NAS 设备上托管的服务中断。供应商已在 QTS 5.2.7.3297 build 20251024 及更高版本以及 QuTS hero 变体中解决了该漏洞。目前尚未报告公开的利用程序，但高达 8.1 的 CVSS 分数表明如果未修补将存在重大风险。该缺陷源于不当的身份验证验证，允许攻击者冒充合法用户或服务并获得提升的访问权限。

潜在影响

对于欧洲组织而言，CVE-2025-59385 的影响是巨大的，尤其是那些依赖 QNAP NAS 设备进行关键数据存储、备份或文件共享的组织。未经授权的访问可能导致涉及敏感个人、财务或知识产权信息的数据泄露，违反 GDPR 和其他数据保护法规。存储数据的完整性可能受到损害，使攻击者能够更改或删除文件，可能破坏业务运营。如果攻击者操纵系统配置或部署勒索软件，可用性也可能受到影响。经常使用 QNAP 设备进行集中存储的金融、医疗保健、政府和制造业等部门面临更高的风险。该漏洞利用的远程和无需身份验证的特性，如果漏洞未得到及时缓解，将增加广泛攻击的可能性。此外，NAS 设备的失陷可能成为在企业网络内横向移动的立足点，从而升级整体安全风险。

缓解建议

组织应立即验证其 QNAP 设备固件版本，并升级到 QTS 5.2.7.3297 build 20251024 或更高版本，或相应的已修补的 QuTS hero 版本。如果无法立即打补丁，应通过实施防火墙规则将访问限制在仅受信任的 IP 地址，来限制对 QNAP 管理接口的网络访问。在支持的地方启用多因素身份验证（MFA）以增加额外的安全层。定期审计访问日志并监控异常的认证尝试或访问模式，这些可能表明存在利用尝试。采用网络分段将 NAS 设备与关键基础设施和敏感数据存储库隔离。禁用 QNAP 设备上任何不必要的服务或端口以减少攻击面。维护离线或在隔离环境中存储的最新备份，以确保在发生安全事件时能够恢复。开展威胁狩猎活动，重点关注检测网络环境中此漏洞利用的迹象。

受影响国家

德国、英国、法国、荷兰、意大利、西班牙、瑞典、波兰

技术详情

数据版本： 5.2 分配者简称： qnap 日期保留： 2025-09-15T08:35:00.660Z Cvss 版本： 4.0 状态： PUBLISHED 威胁 ID： 6940c7c9d9bcdf3f3d1a9816 添加到数据库： 2025年12月16日，凌晨2:45:29 最后丰富： 2025年12月16日，凌晨3:00:28 最后更新： 2025年12月16日，凌晨4:11:21 浏览量： 6

来源： CVE 数据库 V5 发布日期： 2025年12月16日，星期二