QNAPは、同社のLicense Centerアプリケーションに存在する2つの異なる脆弱性に対処する重要なセキュリティアドバイザリを公開しました。
パッチが適用されないままの場合、これらの欠陥により、攻撃者が機密情報を窃取したり、システムプロセスをクラッシュさせたり、影響を受けるネットワーク接続ストレージ(NAS)デバイス上のメモリを改変したりする可能性があります。
同社は2026年1月3日、License Center バージョン2.0.xの問題を解決するためのセキュリティ更新をリリースしました。「中程度(Moderate)」の深刻度と評価されているものの、攻撃者が初期のシステムアクセスを得た場合、これらの脆弱性は重大なリスクとなります。
QNAPのセキュリティアドバイザリQSA-25-52では、License Centerアプリケーションに影響する2つのメモリ管理脆弱性が強調されています。
1つ目の問題であるCVE-2025-52871は、境界外読み取り(out-of-bounds read)の脆弱性で、標準ユーザー権限を持つリモート攻撃者がシステムメモリから許可されていないデータを読み取れるようになります。
これにより、デバイスに保存された機密情報が露出する可能性があります。
2つ目の脆弱性であるCVE-2025-53597は、バッファオーバーフローであり、悪用には管理者レベルの権限が必要です。
悪用に成功すると、攻撃者はメモリを改変したりプロセスをクラッシュさせたりでき、サービス拒否(DoS)状態やシステム不安定を引き起こす可能性があります。
QNAPは解決済みであり、License Center バージョン2.0.36以降で両方の問題に対処しています。
同社は、License Center 2.0.xを実行しているすべてのユーザーに対し、システムとデータを保護するため、直ちに最新バージョンへ更新することを強く推奨しています。
セキュリティ修正を適用するには、管理者はQTSまたはQuTS Heroにログインし、App Centerを開いて「License Center」を検索してください。
更新が利用可能な場合、ユーザーは「Update」ボタンをクリックして、修正済みバージョンを自動的にダウンロードおよびインストールできます。
QNAPは、広範な悪用が発生する前にこれらの脆弱性を発見し、責任ある報告を行ったセキュリティ研究者Coralに謝意を示しました。
翻訳元: https://cyberpress.org/vulnerabilities-in-qnap-tools/