QNAPは、同社のLicense Centerアプリケーションにおける複数の脆弱性に対処するセキュリティアドバイザリを公開しました。
未修正のまま放置すると、これらの欠陥により攻撃者が機密情報を盗み出したり、システムプロセスをクラッシュさせたり、影響を受けるNetwork Attached Storage(NAS)デバイス上のメモリを改変したりする可能性があります。
2026年1月3日にリリースされたこのセキュリティ更新は、License Centerバージョン2.0.xに影響する2つの異なる問題を解決します。QNAPは、これらの欠陥の総合的な深刻度を「中程度(Moderate)」と評価しています。
しかし、攻撃者がシステムへの初期アクセスに成功した場合、重大なリスクとなります。
脆弱性の詳細と影響
Qnapのアドバイザリ(QSA-25-52)は、メモリ管理の誤りに起因する2つの具体的な脆弱性を強調しています。
最初の問題は、CVE-2025-52871として追跡されている、境界外読み取り(out-of-bounds read)の脆弱性です。
リモート攻撃者が標準ユーザーアカウントにアクセスできた場合、この欠陥を悪用して本来アクセスできないデータを読み取ることができ、システムのメモリに保存された秘密情報が露出する可能性があります。
2つ目の問題であるCVE-2025-53597は、バッファオーバーフローの脆弱性です。この欠陥はより深刻ですが、悪用にはより高い権限が必要であり、攻撃者は管理者アカウントへのアクセスを要します。
悪用に成功すると、攻撃者はメモリを改変したりプロセスをクラッシュさせたりでき、サービス拒否(DoS)やシステムの不安定化につながる可能性があります。
以下の表は、この更新で対処されたCVEを要約したものです:
| CVE識別子 | 脆弱性の種類 | 深刻度 | 影響 |
|---|---|---|---|
| CVE-2025-52871 | 境界外読み取り | 中程度 | 認証済みユーザーが秘密データを取得可能。 |
| CVE-2025-53597 | バッファオーバーフロー | 中程度 | 管理者がメモリを改変、またはプロセスをクラッシュ可能。 |
QNAPは、License Centerバージョン2.0.36以降でこれらの問題を解決しました。
同社は、License Center 2.0.xを実行しているすべてのユーザーに対し、データの安全性を確保するため、直ちに最新バージョンへ更新することを強く推奨しています。
修正を適用するには、管理者はQTSまたはQuTS Heroにログインし、App Centerを開いて「License Center」を検索してください。
更新が利用可能な場合は、「Update」ボタンが表示されます。このボタンをクリックすると、修正済みバージョンが自動的にダウンロードおよびインストールされます。
QNAPは、これらの脆弱性を報告し、広範な悪用が起こる前にエコシステムの安全確保に貢献したセキュリティ研究者のCoral氏に謝意を示しました。
翻訳元: https://gbhackers.com/multiple-flaws-in-qnap-tools/
