北京
QNAP已向用戶發出警示,要求修復一處ASP.NET Core高危漏洞——該漏洞同樣影響其NetBak PC Agent工具,這是一款用于向QNAP網絡附加存儲(NAS)設備備份數據的Windows應用。
該漏洞編號為CVE-2025-55315,屬于安全繞過漏洞,存在于Kestrel ASP.NET Core Web服務器中。低權限攻擊者可通過HTTP請求走私技術,劫持其他用戶的憑證,或繞過前端安全控制機制。
QNAP解釋稱:“NetBak PC Agent在安裝過程中會部署并依賴微軟ASP.NET Core組件。因此,若運行該工具的Windows系統未及時更新,其搭載的ASP.NET Core版本可能受此漏洞影響。”
QNAP強烈建議用戶確保Windows系統已安裝最新的微軟ASP.NET Core更新,以防范潛在攻擊。
為保障系統安全,QNAP用戶可通過以下兩種方式修復漏洞:
1. 重新安裝NetBak PC Agent應用程序,獲取集成最新版ASP.NET Core運行時組件的版本;
2. 手動更新ASP.NET Core:訪問.NET 8.0下載頁面,下載并安裝最新的ASP.NET Core運行時(宿主捆綁包,Hosting Bundle)。
漏洞危害:多場景安全風險
微軟.NET安全技術人員表示,該漏洞是ASP.NET Core歷史上獲得“最高嚴重級別”評級的安全漏洞,其攻擊影響取決于目標ASP.NET應用的具體場景。
成功利用該漏洞后,攻擊者可實現:
- 冒充其他用戶登錄,達成權限提升;
- 繞過跨站請求偽造(CSRF)校驗;
- 發起注入攻擊。
QNAP進一步補充:“若漏洞被成功利用,已認證攻擊者可向Web服務器發送特制HTTP請求,導致敏感數據遭未授權訪問、服務器文件被篡改,或引發有限范圍的拒絕服務(DoS)狀態。”
今年1月,QNAP曾針對其數據備份與災難恢復解決方案——HBS 3 Hybrid Backup Sync 25.1.x版本,發布安全更新修復了6處rsync漏洞。這些漏洞可能導致遠程攻擊者在未打補丁的NAS設備上,執行特制惡意代碼。
參考及來源:https://www.bleepingcomputer.com/news/security/qnap-warns-its-windows-backup-software-is-also-affected-by-critical-aspnet-flaw/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
