QNAP NAS 製品群の複数の深刻な脆弱性が FIX:認証情報窃取や DoS などの恐れ

QNAP Fixes 14 Vulnerabilities in QTS, QuTS Hero, QuTS Cloud, and QVP

2026/06/22 gbhackers — QNAP はセキュリティ・アドバイザリ QSA-26-10 を公開し、広く使用されている NAS および監視プラットフォームである QTS/QuTS hero/QuTS cloud/QVP (QVR Pro アプライアンス) に影響を与える 14 件の脆弱性 (Important) に対処した。

これらの脆弱性は 2026年6月17日に公表され、影響を受けるバージョンは QTS 5.2.7/QuTS hero h5.2.8/QuTS cloud c5.2.8/QVP 2.7.1 であるが、すでにアップデートされたファームウェアで修正されている。サービスをインターネットへ公開するエンタープライズや、SMB 向け NAS 環境において、迅速なパッチ管理が強く推奨される。

QNAP が 14 件の脆弱性を修正

最も深刻な脆弱性の 1 つである CVE-2025-59382 は URL インジェクションの欠陥であり、リモートの攻撃者に対して、パスワード・リセット・リンクの操作を許すものだ。それにより、攻撃者が管理するページへと被害者がリダイレクトされ、認証情報の窃取につながる可能性がある。

さらに、コマンド・インジェクションの脆弱性 CVE-2025-66273/CVE-2025-66279/CVE-2026-22893 を悪用する認証済みの管理者は、ユーザー名や API コールなどの細工された入力パラメータを介して、任意のシステム・コマンドを実行できる可能性がある。これらの脆弱性は、管理インターフェイスにおける不適切な入力サニタイズに起因し、システム制御の完全な奪取に至る恐れがある。

このアドバイザリの重要な部分を占めるのは、メモリ安全性に関する問題である。脆弱性 CVE-2025-62858/CVE-2025-68405/CVE-2026-26239/CVE-2026-26240/CVE-2026-26241 は、スタック・オーバーフローおよびバッファ・オーバーフローの欠陥であり、それらが悪用されると、メモリ破損/サービス・クラッシュ/不正な動作に至る可能性がある。

特に CVE-2026-26241 では、過度に長いファイル名を用いるチャンク形式のファイル・アップロードにより、CGI コンポーネントのプロセス・クラッシュが引き起こされる可能性がある。

同様に、脆弱性 CVE-2026-22899 は utilRequest.cgi における NULL ポインタ逆参照の問題であり、低権限ユーザーによる悪用であっても、サービス拒否 (DoS) 状態を引き起こす可能性がある。

その他の脆弱性として、機密ファイルへの不正アクセスを可能にするアクセス制御不備の CVE-2026-24724 や、CPU およびメモリ・リソースを枯渇させてシステム性能を低下させる CVE-2026-24720 が挙げられる。さらに、CVE-2025-66281 は不正な形式の HTTP リクエストにより発生する NULL ポインタ参照の脆弱性であり、攻撃者は有効な認証情報を必要とせずに、サービスをクラッシュさせる。

すでに QNAP は、QTS 5.2.9.3499/QuTS hero h5.2.9/QuTS cloud c5.2.9/QVP 2.8.0 において、これらの脆弱性を修正している。ユーザーに対して強く推奨されるのは、コントロール・パネルのファームウェア更新機能もしくは、QNAP の公式 Web サイトからのパッチのダウンロードにより、直ちにファームウェアを更新することだ。

CVE IDVulnerability typeAffected components (per advisory scope)
CVE-2025-59382URL injectionQTS, QuTS hero, QuTS cloud, QVP (per QSA-26-10 scope)
CVE-2025-66273Command injection (username parameter)QTS, QuTS hero, QuTS cloud, QVP
CVE-2025-66279Command injection in user deletion APIsQTS, QuTS hero, QuTS cloud, QVP
CVE-2026-22893Command injection (privilege escalation)QTS, QuTS hero, QuTS cloud, QVP
CVE-2025-62858Stack overflowQTS, QuTS hero, QuTS cloud, QVP
CVE-2025-66280Stack manipulationQTS, QuTS hero, QuTS cloud, QVP
CVE-2025-68405Stack overflowQTS, QuTS hero, QuTS cloud, QVP
CVE-2026-26239Stack‑based buffer overflowQTS, QuTS hero, QuTS cloud, QVP
CVE-2026-26240Stack‑based buffer overflow (utilRequest.cgi)QTS, QuTS hero, QuTS cloud, QVP
CVE-2026-26241Stack‑based buffer overflow (chunked upload)QTS, QuTS hero, QuTS cloud, QVP
CVE-2026-24724Broken access controlQTS, QuTS hero, QuTS cloud, QVP
CVE-2026-22899NULL pointer dereference (utilRequest.cgi)QTS, QuTS hero, QuTS cloud, QVP
CVE-2026-24720Uncontrolled resource consumption (DoS)QTS, QuTS hero, QuTS cloud, QVP
CVE-2025-66281Pre‑auth NULL pointer dereference (HTTP parsing)QTS, QuTS hero, QuTS cloud, QVP

エンタープライズ・ストレージ/バックアップ・インフラ/ビデオ監視環境で広く利用されている NAS デバイスは、攻撃者にとって格好の標的であり、パッチ適用の遅れにより、データ窃取/永続化の確立/ラテラル・ムーブメントに至る恐れがある。

このアドバイザリは、NAS エコシステムにおける継続的なセキュリティ課題、とりわけ入力検証/メモリ処理/アクセス制御の実装に関する問題を強調している。

QNAP デバイスを利用する組織はパッチ適用を迅速に実施した上で、管理アクセスの制限/ログ監視の強化/インターネットへの直接公開の最小化などを通じて、攻撃対象領域を縮小すべきである。

今回の QNAP のアドバイザリは、URL インジェクションの欠陥 CVE-2025-59382 や、入力サニタイズの不備によるコマンド・インジェクション CVE-2025-66273/CVE-2025-66279 などに対処するものです。また、メモリ処理の不適切な取り扱いから生じるバッファ・オーバーフロー CVE-2026-26241/NULL ポインタ逆参照 CVE-2026-22899/アクセス制御の不備も修正されています。ご利用のチームは、ご注意ください。よろしければ、QNAP での検索結果も、ご参照ください。