QNAP 修复了 14 个 NAS 安全漏洞，并建议更新 QTS 和 QuTS

QNAP 已为其网络附加存储（NAS）设备发布了一项重大安全更新。日期为 6 月 17 日的安全公告 QSA-26-10 解决了 QTS、QuTS hero 和 QuTS cloud 操作系统以及 QVP 监控系统中的 14 个漏洞。 建议所有使用 QNAP NAS 设备的用户尽快进行更新，以保护敏感的个人数据。

QNAP修复了哪些漏洞

？

在已确认的14个安全漏洞中，有多个属于高危漏洞，其中包括一个URL注入漏洞（CVE-2025-59382），该漏洞允许攻击者远程篡改密码重置链接，诱骗受害者访问假冒网站以窃取登录凭据。 此外，还有多个命令注入漏洞，允许经过身份验证的管理员执行任意系统命令。其中尤为严重的是一个内存漏洞（CVE-2026-26241），据 QNAP 称，未经身份验证的威胁行为者可通过上传文件名过长的经过篡改的文件来利用该漏洞。

受影响的版本包括：

NAS 设备

是

网络攻击的热门目标，因为其中许多设备持续运行且可通过互联网访问。受影响的版本包括 QTS 5.2.7、QuTS hero h5.2.8、QuTS cloud c5.2.8 以及 QVP 2.7.1。 QNAP 已在更新版本中修复了这些漏洞，包括 QTS 5.2.9.3499 和 QuTS hero h5.2.9。

如何更新您的 QNAP NAS

您可以在设备上直接安装更新。操作方法：登录 Web 界面，打开“控制面板”，进入“系统”和“固件更新”，然后检查是否有新软件版本。此外，您也可以从 QNAP 下载中心获取相应的固件并手动安装。 更新完成后，您的 NAS 设备将自动重启。

如何为您的 NAS 提供额外保护

NAS 系统在未采取适当保护措施的情况下，绝不应连接至互联网。请禁用所有不需要的远程访问功能，并避免授予管理员账户直接的在线访问权限。请使用强密码和唯一密码，并启用双因素认证。 如果您需要在外出时访问 NAS，请使用 VPN，以避免将 NAS 接口直接暴露在互联网上。

此更新的安装仅需几分钟——考虑到其中一个漏洞可能被未经身份验证的攻击者利用，这绝对是值得花的时间。

请参阅QNAP 安全公告 QSA-26-10 以获取更多信息，包括已修复漏洞的完整列表。