Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-16030

Опубликовано: 08 нояб. 2025
Источник: fstec
CVSS3: 10
CVSS2: 10
EPSS Низкий

Описание

Уязвимость операционных систем QuTS hero и QTS сетевых устройств Qnap связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код и повысить свои привилегии

Вендор

QNAP Systems, Inc.

Наименование ПО

QTS
QuTS hero

Версия ПО

до 5.2.7.3297 build 20251024 (QTS)
до h5.2.7.3297 build 20251024 (QuTS hero)
до h5.3.1.3292 build 20251024 (QuTS hero)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 10)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://securityonline.info/critical-warning-qnap-patches-seven-zero-days-exploited-at-pwn2own-2025/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 31%
0.00119
Низкий

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-62847

CVSS3: 7.5
nvd
около 2 месяцев назад

An improper neutralization of argument delimiters in a command vulnerability has been reported to affect several QNAP operating system versions. The remote attackers can then exploit the vulnerability to alter execution logic. We have already fixed the vulnerability in the following versions: QTS 5.2.7.3297 build 20251024 and later QuTS hero h5.2.7.3297 build 20251024 and later QuTS hero h5.3.1.3292 build 20251024 and later

github логотип

GHSA-qv28-7w47-rrhx

CVSS3: 7.5
github
около 2 месяцев назад

An improper neutralization of argument delimiters in a command vulnerability has been reported to affect several QNAP operating system versions. The remote attackers can then exploit the vulnerability to alter execution logic. We have already fixed the vulnerability in the following versions: QTS 5.2.7.3297 build 20251024 and later QuTS hero h5.2.7.3297 build 20251024 and later QuTS hero h5.3.1.3292 build 20251024 and later

EPSS

Процентиль: 31%
0.00119
Низкий

10 Critical

CVSS3

10 Critical

CVSS2