QNAP NetBak PC Agentが最近のASP.NET Coreの脆弱性の影響を受ける

台湾のQNAP Systemsは、NetBak PC Agentが最近公開されたASP.NET Coreの脆弱性の影響を受ける可能性があると発表しました。この脆弱性は、オープンソースのWeb開発フレームワークにおける問題として「過去最高」のCVSSスコアを持っています。

CVE-2025-55315として追跡（CVSSスコア9.9）のこのバグは、HTTPリクエストスマグリングの欠陥であり、攻撃者がネットワーク上でセキュリティ制御を回避したり、他のユーザーの認証情報を乗っ取ったりすることを可能にします。

Microsoftは2025年10月のPatch Tuesdayでこの脆弱性にパッチを適用し、機密情報の漏洩、ファイル内容の改ざん、サーバー内でのクラッシュの強制などに悪用される可能性があると警告しています。

.NETセキュリティプログラムマネージャーのBarry Dorrans氏によると、バグによる実際の影響はアプリケーションの構築方法に依存し、攻撃者が他のユーザーとしてログインしたり、CSRFチェックを回避したり、内部リクエストを実行したり、インジェクション攻撃を行うことが可能になる場合があります。

QNAPによると、NetBak PC Agentはセットアップ時にASP.NET Coreコンポーネントをインストールし依存しているため、更新されていないシステムで脆弱なバージョンのフレームワークが動作している可能性があります。

NetBak PC Agentは、ユーザーがコンピューターやサーバーの内容をQNAP NASシステムにバックアップし、必要に応じてシステムを復元できるようにするWindowsアプリケーションです。

バックアップ／復元操作において本アプリケーションが果たす重要な役割を考えると、CVE-2025-55315が悪用された場合、攻撃者がバックアップデータにアクセスできるなど、深刻な結果を招く可能性があります。

QNAPはユーザーに対し、エージェントを再インストールするか、手動で最新のフレームワークバージョンをダウンロード・インストールすることで、ASP.NET Coreのパッチを直ちに適用するよう強く推奨しています。

同社はNetBak PC Agentユーザーに対してこの脆弱性が悪用されたという言及はしていませんが、QNAP製品に影響を与える脆弱性は脅威アクターにとって人気の標的となっています。