QNAP警示ASP.NET Core高危漏洞波及NetBak PC備份工具

QNAP已向用戶發(fā)出警示，要求修復(fù)一處ASP.NET Core高危漏洞——該漏洞同樣影響其NetBak PC Agent工具，這是一款用于向QNAP網(wǎng)絡(luò)附加存儲(chǔ)（NAS）設(shè)備備份數(shù)據(jù)的Windows應(yīng)用。

該漏洞編號(hào)為CVE-2025-55315，屬于安全繞過漏洞，存在于Kestrel ASP.NET Core Web服務(wù)器中。低權(quán)限攻擊者可通過HTTP請(qǐng)求走私技術(shù)，劫持其他用戶的憑證，或繞過前端安全控制機(jī)制。

QNAP解釋稱：“NetBak PC Agent在安裝過程中會(huì)部署并依賴微軟ASP.NET Core組件。因此，若運(yùn)行該工具的Windows系統(tǒng)未及時(shí)更新，其搭載的ASP.NET Core版本可能受此漏洞影響。”

QNAP強(qiáng)烈建議用戶確保Windows系統(tǒng)已安裝最新的微軟ASP.NET Core更新，以防范潛在攻擊。

為保障系統(tǒng)安全，QNAP用戶可通過以下兩種方式修復(fù)漏洞：

1. 重新安裝NetBak PC Agent應(yīng)用程序，獲取集成最新版ASP.NET Core運(yùn)行時(shí)組件的版本；

2. 手動(dòng)更新ASP.NET Core：訪問.NET 8.0下載頁面，下載并安裝最新的ASP.NET Core運(yùn)行時(shí)（宿主捆綁包，Hosting Bundle）。

漏洞危害：多場景安全風(fēng)險(xiǎn)

微軟.NET安全技術(shù)人員表示，該漏洞是ASP.NET Core歷史上獲得“最高嚴(yán)重級(jí)別”評(píng)級(jí)的安全漏洞，其攻擊影響取決于目標(biāo)ASP.NET應(yīng)用的具體場景。

成功利用該漏洞后，攻擊者可實(shí)現(xiàn)：

- 冒充其他用戶登錄，達(dá)成權(quán)限提升；

- 繞過跨站請(qǐng)求偽造（CSRF）校驗(yàn)；

- 發(fā)起注入攻擊。

QNAP進(jìn)一步補(bǔ)充：“若漏洞被成功利用，已認(rèn)證攻擊者可向Web服務(wù)器發(fā)送特制HTTP請(qǐng)求，導(dǎo)致敏感數(shù)據(jù)遭未授權(quán)訪問、服務(wù)器文件被篡改，或引發(fā)有限范圍的拒絕服務(wù)（DoS）狀態(tài)。”

今年1月，QNAP曾針對(duì)其數(shù)據(jù)備份與災(zāi)難恢復(fù)解決方案——HBS 3 Hybrid Backup Sync 25.1.x版本，發(fā)布安全更新修復(fù)了6處rsync漏洞。這些漏洞可能導(dǎo)致遠(yuǎn)程攻擊者在未打補(bǔ)丁的NAS設(shè)備上，執(zhí)行特制惡意代碼。

參考及來源：https://www.bleepingcomputer.com/news/security/qnap-warns-its-windows-backup-software-is-also-affected-by-critical-aspnet-flaw/