1. TugaTech » Software » Noticias de Software
  Login     Registar    |                      
Siga-nos

TugaTech » Software » Noticias de Software » Alerta QNAP: 7 falhas "zero-day" exploradas no Pwn2Own 2025 corrigidas. Atualize já

Qnap logo

A QNAP emitiu um importante alerta de segurança, anunciando a correção de sete vulnerabilidades "zero-day" que foram exploradas com sucesso durante a competição de hacking Pwn2Own Irlanda 2025.

Estas falhas afetam vários sistemas operativos e aplicações da QNAP, sendo crucial que os utilizadores atualizem os seus dispositivos NAS (Network-Attached Storage) imediatamente para evitar ataques.

Vulnerabilidades críticas nos sistemas operativos e apps

As falhas descobertas durante o evento impactam diretamente os sistemas operativos QTS e QuTS hero da QNAP (identificadas como CVE-2025-62847, CVE-2025-62848, CVE-2025-62849).

Além dos sistemas base, foram encontradas vulnerabilidades em software específico da marca:

  • Hyper Data Protector (CVE-2025-59389)

  • Malware Remover (CVE-2025-11837)

  • HBS 3 Hybrid Backup Sync (CVE-2025-62840, CVE-2025-62842)

Nos avisos oficiais, a QNAP deu o devido crédito às equipas de segurança que demonstraram os ataques, nomeadamente a Summoning Team, DEVCORE, Team DDOS e um estagiário de tecnologia da CyCraft.

Como atualizar e proteger o seu NAS

A QNAP recomenda vivamente a atualização imediata de todo o software e, como medida de precaução adicional, a alteração de todas as palavras-passe de acesso aos dispositivos.

As correções estão disponíveis nas seguintes versões:

  • Hyper Data Protector: 2.2.4.1 (ou superior)

  • Malware Remover: 6.6.8.20251023 (ou superior)

  • HBS 3 Hybrid Backup Sync: 26.2.0.938 (ou superior)

  • QTS: 5.2.7.3297 build 20251024 (ou superior)

  • QuTS hero: h5.2.7.3297 build 20251024 (ou superior)

  • QuTS hero: h5.3.1.3292 build 20251024 (ou superior)

Para atualizar o sistema operativo (QTS ou QuTS Hero), os administradores devem aceder ao Painel de Controlo > Sistema > Atualização de Firmware e clicar em "Verificar Atualizações". Para as aplicações vulneráveis, o processo deve ser feito através do App Center, procurando pelo nome da aplicação e clicando em "Atualizar".

Correção extra para o QuMagie

Paralelamente a estes patches, a QNAP lançou também o QuMagie 2.7.0. Esta nova versão corrige uma vulnerabilidade crítica de injeção de SQL (SQLi) (CVE-2025-52425) no seu software de gestão de fotografias, que podia permitir a atacantes remotos executar código não autorizado.

Este já não é o primeiro alerta proveniente da competição Pwn2Own. Há um ano, o fabricante de NAS teve de corrigir outras duas falhas "zero-day" que tinham sido exploradas na edição de 2024 do evento.




Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech