11月8日臺灣NAS業者威聯通(QNAP)發布11則資安公告,修補旗下多項產品的漏洞,其中又以10月下旬漏洞挖掘競賽Pwn2Own Ireland 2025揭露的資安漏洞,最受到矚目。為了展現對於這項競賽的支持,威聯通本次提供NAS設備TS-453E與路由器QHora-322。
這批新揭露的漏洞影響的產品涵蓋NAS作業系統QTS與QTS Hero、惡意軟體防護元件Malware Remover、混合雲資料備份及同步系統HBS 3 Hybrid Backup Sync,以及電腦與虛擬機器備份軟體Hyper Data Protector。怪異的是,有別於其他同一天公告及修補的資安漏洞,威聯通僅有公布這些漏洞為重大層級,但除此之外並未公布CVSS分數,也沒有透露漏洞的類型與可能會帶來的影響。
本次由Pwn2Own Ireland 2025通報的漏洞,總共登記為7個CVE編號,其中4個是臺灣參賽隊伍揭露。有3個漏洞CVE-2025-62847、CVE-2025-62848,以及CVE-2025-62849由臺灣資安業者戴夫寇爾(DEVCORE)組成的隊伍發現,這些漏洞存在於QTS 5.2.x,以及QuTS hero h5.2.x與h5.3.x,該公司發布QTS 5.2.7.3297 build 20251024、QuTS hero h5.2.7.3297 build 20251024,以及QuTS hero h5.3.1.3292 build 20251024修補。
另一個由臺灣參賽隊伍找到的資安漏洞CVE-2025-11837,揭露者是奧義智慧科技的實習生(CyCraft Technology Intern)團隊,此漏洞影響Malware Remover,威聯通發布6.6.8.20251023版修補。
其餘3個漏洞分別是由Team DDOS與Summoning Team兩個隊伍通報,這些漏洞是:HBS 3 Hybrid Backup Sync漏洞CVE-2025-62840與CVE-2025-62842,以及Hyper Data Protector漏洞CVE-2025-59389。
熱門新聞
2026-01-06
2026-01-06
2026-01-05
2026-01-06
2026-01-02
2026-01-02