1. TugaTech » Software » Noticias de Software » Alerta QNAP: 7 falhas "zero-day" exploradas no Pwn2Own 2025 corrigidas. Atualize já
  Login     Registar    |                      
Siga-nos

Você não está conectado. Conecte-se ou registre-se

TugaTech » Software » Noticias de Software » Alerta QNAP: 7 falhas "zero-day" exploradas no Pwn2Own 2025 corrigidas. Atualize já » Nova mensagem

Responder

Guia do BBcode

  

Opções



Mensagens anteriores

Alerta QNAP: 7 falhas "zero-day" exploradas no Pwn2Own 2025 corrigidas. Atualize já em Sáb 8 Nov 2025 - 11:54

DJPRMF

Qnap logo

A QNAP emitiu um importante alerta de segurança, anunciando a correção de sete vulnerabilidades "zero-day" que foram exploradas com sucesso durante a competição de hacking Pwn2Own Irlanda 2025.

Estas falhas afetam vários sistemas operativos e aplicações da QNAP, sendo crucial que os utilizadores atualizem os seus dispositivos NAS (Network-Attached Storage) imediatamente para evitar ataques.

Vulnerabilidades críticas nos sistemas operativos e apps

As falhas descobertas durante o evento impactam diretamente os sistemas operativos QTS e QuTS hero da QNAP (identificadas como CVE-2025-62847, CVE-2025-62848, CVE-2025-62849).

Além dos sistemas base, foram encontradas vulnerabilidades em software específico da marca:

  • Hyper Data Protector (CVE-2025-59389)

  • Malware Remover (CVE-2025-11837)

  • HBS 3 Hybrid Backup Sync (CVE-2025-62840, CVE-2025-62842)

Nos avisos oficiais, a QNAP deu o devido crédito às equipas de segurança que demonstraram os ataques, nomeadamente a Summoning Team, DEVCORE, Team DDOS e um estagiário de tecnologia da CyCraft.

Como atualizar e proteger o seu NAS

A QNAP recomenda vivamente a atualização imediata de todo o software e, como medida de precaução adicional, a alteração de todas as palavras-passe de acesso aos dispositivos.

As correções estão disponíveis nas seguintes versões:

  • Hyper Data Protector: 2.2.4.1 (ou superior)

  • Malware Remover: 6.6.8.20251023 (ou superior)

  • HBS 3 Hybrid Backup Sync: 26.2.0.938 (ou superior)

  • QTS: 5.2.7.3297 build 20251024 (ou superior)

  • QuTS hero: h5.2.7.3297 build 20251024 (ou superior)

  • QuTS hero: h5.3.1.3292 build 20251024 (ou superior)

Para atualizar o sistema operativo (QTS ou QuTS Hero), os administradores devem aceder ao Painel de Controlo > Sistema > Atualização de Firmware e clicar em "Verificar Atualizações". Para as aplicações vulneráveis, o processo deve ser feito através do App Center, procurando pelo nome da aplicação e clicando em "Atualizar".

Correção extra para o QuMagie

Paralelamente a estes patches, a QNAP lançou também o QuMagie 2.7.0. Esta nova versão corrige uma vulnerabilidade crítica de injeção de SQL (SQLi) (CVE-2025-52425) no seu software de gestão de fotografias, que podia permitir a atacantes remotos executar código não autorizado.

Este já não é o primeiro alerta proveniente da competição Pwn2Own. Há um ano, o fabricante de NAS teve de corrigir outras duas falhas "zero-day" que tinham sido exploradas na edição de 2024 do evento.



  As mensagens apresentadas em cima não são actualizadas automaticamente pelo que se uma nova mensagem for colocada enquanto se encontra nesta página, não irá aparecer na lista em cima.


Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech