قامت QNAP بإصلاح سبع ثغرات أمنية استغلها الباحثون الأمنيون لاختراق أجهزة التخزين المتصلة بالشبكة (NAS) الخاصة بـ QNAP أثناء”https://www.bleepingcomputer.com/news/security/hackers-earn-1-024-750-for-73-zero-days-at-pwn2own-ireland/” الهدف=”_blank” rel=”nofollow noopener”> Pwn2Own أيرلندا 2025 مسابقة.
تؤثر العيوب على أنظمة التشغيل QTS وQuTS البطل الخاصة بـ QNAP (CVE-2025-62847، CVE-2025-62848، CVE-2025-62849) وHyper Data Protector الخاص بالشركة (CVE-2025-59389)، ومزيل البرامج الضارة (CVE-2025-11837)، وHBS 3 Hybrid Backup Sync. (CVE-2025-62840، CVE-2025-62842) البرمجيات.
وقالت QNAP في النصائح المنشورة يوم الجمعة إن الأخطاء الأمنية تم عرضها في Pwn2Own بواسطة فريق الاستدعاء، وDEVCORE، وTeam DDOS، ومتدرب في تكنولوجيا CyCraft.
“https://www.bleepstatic.com/c/w/wiz/MCP-Research-Guide-970×250.png” البديل=”Wiz”>
ولتصحيح هذه العيوب الأمنية، توصي QNAP بتحديث البرنامج إلى أحدث إصدار وتغيير جميع كلمات المرور لزيادة الأمان.
قامت QNAP بإصلاح جميع هذه الثغرات الأمنية في إصدارات البرامج التالية:
- Hyper Data Protector 2.2.4.1 والإصدارات الأحدث
- مزيل البرامج الضارة 6.6.8.20251023 والإصدارات الأحدث
- HBS 3 Hybrid Backup Sync 26.2.0.938 والإصدارات الأحدث
- QTS 5.2.7.3297 الإصدار 20251024 والإصدارات الأحدث
- QuTS Hero h5.2.7.3297 الإصدار 20251024 والإصدارات الأحدث
- QuTS Hero h5.3.1.3292 الإصدار 20251024 والإصدارات الأحدث
يجب على المستخدمين الذين يرغبون في تحديث نظام التشغيل الخاص بهم لتسجيل الدخول إلى QTS أو QuTS Hero كمسؤول، الانتقال إلى لوحة التحكم> النظام> تحديث البرنامج الثابت والنقر فوق “Check for Update” ضمن التحديث المباشر.
لتحديث التطبيقات الضعيفة، قم أولاً بتسجيل الدخول إلى QTS أو QuTS Hero كمسؤول، ثم افتح مركز التطبيقات وانقر على زر البحث. اكتب اسم التطبيق الذي تريد تحديثه ثم اضغط على ENTER. في نتائج البحث، انقر فوق “Update,” ثم قم بتأكيد الإجراء بالنقر فوق “OK” في رسالة التأكيد التي تظهر.
“To secure your device, we recommend regularly updating your system to the latest version to benefit from vulnerability fixes. You can check the حالة دعم المنتج للاطلاع على آخر التحديثات المتوفرة لنموذج NAS الخاص بك،””https://www.qnap.com/en/security-advisory/qsa-25-45″ الهدف=”_blank” rel=”nofollow noopener”> قال QNAP.
قبل عام واحد، قامت الشركة المصنعة لـ NAS بتصحيح اثنين آخرين من أيام الصفر التي تم استغلالها خلال مسابقة Pwn2Own Ireland 2024: نقطة ضعف في حقن أوامر نظام التشغيل (“https://www.bleepingcomputer.com/news/security/qnap-fixes-nas-backup-software-zero-day-exploited-at-pwn2own/” الهدف=”_blank” rel=”nofollow noopener”>CVE-2024-50388) في حل النسخ الاحتياطي للبيانات والاسترداد بعد الكوارث Hybrid Backup Sync، والثغرة الأمنية لحقن SQL (SQLi) (“https://www.bleepingcomputer.com/news/security/qnap-patches-second-zero-day-exploited-at-pwn2own-to-get-root/” الهدف=”_blank” rel=”nofollow noopener”>CVE-2024-50387) في خدمة الشركات الصغيرة والمتوسطة التابعة لـ QNAP.
اليوم، أصدرت QNAP أيضًا QuMagie 2.7.0 مع”https://www.qnap.com/en/security-advisory/qsa-25-33″ الهدف=”_blank” rel=”nofollow noopener”> تصحيحات لثغرة أمنية حرجة في SQLi (CVE-2025-52425) في حل إدارة الصور ومشاركتها الذي يمكن أن يسمح للمهاجمين عن بعد بتنفيذ تعليمات برمجية أو أوامر غير مصرح بها على الأجهزة الضعيفة.
“https://www.bleepstatic.com/c/w/wiz/Secrets-Security-512×512.png” البديل=”Wiz”>
ورقة الغش الخاصة بأسرار الأمن: من الامتداد إلى السيطرة
سواء كنت تقوم بتنظيف المفاتيح القديمة أو إعداد حواجز الحماية للتعليمات البرمجية التي تم إنشاؤها بواسطة الذكاء الاصطناعي، فإن هذا الدليل يساعد فريقك على البناء بشكل آمن من البداية.
احصل على ورقة الغش وتخلص من التخمين بشأن إدارة الأسرار.