QNAP Qsync Central の脆弱性 CVE-2025-22482／29892 が FIX：情報漏洩や SQLi などの可能性

2025/06/09 gbhackers — QNAP 製の NAS デバイス／クライアント間でファイルの同期を担う QNAP Qsync Central に、２件の深刻な脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、機密データへの不正アクセスや悪意のコード実行の可能性を手にする。

CVE-2025-22482
- タイプ：外部制御のフォーマット文字列の使用の脆弱性
- 影響：この脆弱性の悪用に成功し、ユーザー・アクセス権を取得したリモートの攻撃者は、秘密データの取得／メモリ改竄などの可能性を手にする。
- 技術的な詳細：printf や sprintf などの関数へのユーザー入力が、フォーマット文字列として使用されることで、メモリ操作が可能になる。その結果として、メモリ改竄／情報漏洩／任意のコード実行などが引き起こされる可能性がある。
  .
CVE-2025-29892
- タイプ：SQL インジェクション
- 影響：この脆弱性の悪用に成功した、ユーザー権限を持つリモートの攻撃者は、SQL コマンドを不正に実行することで、任意コード実行やコマンド・インジェクションの可能性を手にする。
- 技術的な詳細：この脆弱性は、SQL クエリで使用される前のユーザー入力が、適切にサニタイズされないことに起因する。その結果として、攻撃者に悪意の SQL ステートメントの注入を許す恐れがある。

いずれの脆弱性も、攻撃者にとっての前提は、ユーザー・レベルのアクセス権を持っていることである。しかし、侵入後の影響は極めて重大であるため、速やかなパッチの適用が推奨される。

CVSS (Common Vulnerability Scoring System) とは、ユーザー組織が脆弱性対応の優先度を見極めるために、各脆弱性に数値スコアを割り当てるものだ。

QNAP Qsync Central の脆弱性の評価結果は次のとおりだ：

Vulnerability ID	CVSS v3.0 Base Score	CVSS v4.0 Base Score	Qualitative Severity	Description
CVE-2025-22482	Not formally listed	Not formally listed	High (per SecAlerts)	Format string vulnerability: data/memory exposure if user access obtained.
CVE-2025-29892	9.8 (Critical)	8.7 (High)	Critical/High	SQL injection: remote code execution if user access obtained.

すでに QNAP は、Qsync Central バージョン 4.5.0.6 (2025年3月20日リリース) 以降で、これらの脆弱性を修正している。すべてのユーザーに推奨されるのは、速やかにアップデートを行い、システムを保護することである。

Qsync Central のアップデート手順：

その他の推奨事項：

これらの脆弱性が浮き彫りにするのは、広く使用されているファイル同期ソリューションにおける継続的なリスクである。ユーザーに推奨されるのは、アップデートを速やかに適用し、リスクを軽減することである。

謝辞：

改訂履歴：
V1.0 (June 07, 2025) – Published

添付ファイル：

Qsync Central のユーザーは、これらの脆弱性を最優先事項として扱い、すべてのインスタンスをバージョン 4.5.0.6 以降に更新すべきである。パッチの適用を怠った場合には、重大なデータ損失や不正アクセス、法的リスクに直面する可能性がある。

Qsync Central で発見された脆弱性は、外部制御のフォーマット文字列と SQL インジェクションという、かなり深刻なものです。任意のコード実行にまで至るとされていますので、ご利用のチームは、十分にご注意ください。よろしければ、QNAP で検索も、ご参照ください。