QNAP Flaw Allows Attackers to Bypass Authentication
2025/08/30 gbhackers — QNAP Systems が公開したのは、レガシー VioStor Network Video Recorder (NVR) システムの QVR ファームウェアに影響を及ぼす、複数の脆弱性に対処するセキュリティ・パッチである。2025年8月29日に同社は 、2件の深刻な脆弱性 CVE-2025-52856/CVE-2025-52861 を公表し、ユーザーに対して速やかなシステム更新を強く推奨し、潜在的な侵害を防ぐよう求めている。
2件のセキュリティ脆弱性がシステムを脅かす
このセキュリティ・アドバイザリが明らかにするのは、QVR 5.1.x ファームウェアを搭載するレガシー VioStor NVR システムの、整合性を損なう可能性のある2件の脆弱性の詳細である。
- CVE-2025-52856:(認証バイパス)
適切な認証情報を持たないリモート攻撃者であっても、システム・セキュリティを侵害し、監視データやシステム制御にアクセス可能となる。 - CVE-2025-52861:(パス・トラバーサル)
この欠陥により、意図しないファイルの読み取りや、権限を超えた機密データへのアクセスが可能となる。
主なポイント
- CVE-2025-52856 (Important):リモート認証バイパスにより、不正なシステム・アクセスが生じる。
- CVE-2025-52861 (Important):パス・トラバーサルにより、不正なファイル・アクセスが生じる。
- 発見者:360 Security の研究者 Hou Liuyang。
- 影響の範囲:QVR 5.1.x ファームウェアを実行するレガシー VioStor NVR システム。
脆弱なシステム向けのパッチ
すでに QNAP は、ファームウェア・アップデートをリリースし、2つの脆弱性を修正している。QVR 5.1.x を実行するレガシー VioStor NVR システムが影響を受けるが、QVR 5.1.6 build 20250621 以降にアップグレードすることで、これらのセキュリティ・リスクは解消される。
同社は、最新のファームウェアを通じて包括的な修正を提供し、これらの脆弱性を “解決済み” とマークしている。
この対応が示す QNAP の姿勢は、定期的な機能更新が提供されなくなったレガシー・システムであっても、監視インフラ製品のセキュリティの維持を重視するものと評価できる。ユーザーは、QNAP 公式ダウンロード・ポータルから現行のファームウェア・バージョンを確認し、最新のアップデートを入手できる。NVR システムで扱う監視データは機密性の高いものであるため、これらのアップデートは極めて重要となる。
更新手順と推奨事項
- コントロール・パネルのシステム設定メニューから更新機能を利用
- 管理者権限を持つアカウントで操作
- QNAP 公式サイトから対象デバイス・モデルのファームウェアをダウンロード
- ファームウェア・アップデート・インターフェイスを介してアップロードすると、システムは自動的にパッチを適用し、脆弱性に対する保護が直ちに有効化される
QNAP が強く推奨するのは、定期的な更新スケジュールを設定し、最新のセキュリティ・パッチを常に適用することだ。また、使用しているモデルのサポート状況を確認し、今後の更新や推奨を把握するために、製品サポート・ステータス・ページを参照するよう案内している。
QNAP のレガシー VioStor NVR システムに存在する、2件の脆弱性 CVE-2025-52856/52861 が FIX しました。原因のひとつは認証処理の不備であり、正しい資格情報がなくても不正アクセスを許してしまう点です (CVE-2025-52856)。もうひとつはパス・トラバーサルの検証不足で、管理者権限を持つ攻撃者が想定外のファイルにアクセスできる点です (CVE-2025-52861)。いずれも、入力やアクセス経路の検証が不十分であることが根本原因だと、この記事は指摘しています。よろしければ、QNAP で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.