导语:这些漏洞可能导致远程攻击者在未打补丁的NAS设备上,执行特制恶意代码。
QNAP已向用户发出警示,要求修复一处ASP.NET Core高危漏洞——该漏洞同样影响其NetBak PC Agent工具,这是一款用于向QNAP网络附加存储(NAS)设备备份数据的Windows应用。
该漏洞编号为CVE-2025-55315,属于安全绕过漏洞,存在于Kestrel ASP.NET Core Web服务器中。低权限攻击者可通过HTTP请求走私技术,劫持其他用户的凭证,或绕过前端安全控制机制。
QNAP解释称:“NetBak PC Agent在安装过程中会部署并依赖微软ASP.NET Core组件。因此,若运行该工具的Windows系统未及时更新,其搭载的ASP.NET Core版本可能受此漏洞影响。”
QNAP强烈建议用户确保Windows系统已安装最新的微软ASP.NET Core更新,以防范潜在攻击。
为保障系统安全,QNAP用户可通过以下两种方式修复漏洞:
1. 重新安装NetBak PC Agent应用程序,获取集成最新版ASP.NET Core运行时组件的版本;
2. 手动更新ASP.NET Core:访问.NET 8.0下载页面,下载并安装最新的ASP.NET Core运行时(宿主捆绑包,Hosting Bundle)。
漏洞危害:多场景安全风险
微软.NET安全技术人员表示,该漏洞是ASP.NET Core历史上获得“最高严重级别”评级的安全漏洞,其攻击影响取决于目标ASP.NET应用的具体场景。
成功利用该漏洞后,攻击者可实现:
- 冒充其他用户登录,达成权限提升;
- 绕过跨站请求伪造(CSRF)校验;
- 发起注入攻击。
QNAP进一步补充:“若漏洞被成功利用,已认证攻击者可向Web服务器发送特制HTTP请求,导致敏感数据遭未授权访问、服务器文件被篡改,或引发有限范围的拒绝服务(DoS)状态。”
今年1月,QNAP曾针对其数据备份与灾难恢复解决方案——HBS 3 Hybrid Backup Sync 25.1.x版本,发布安全更新修复了6处rsync漏洞。这些漏洞可能导致远程攻击者在未打补丁的NAS设备上,执行特制恶意代码。
文章翻译自:https://www.bleepingcomputer.com/news/security/qnap-warns-its-windows-backup-software-is-also-affected-by-critical-aspnet-flaw/如若转载,请注明原文地址
