Die vier Sicherheitsmängel tragen die Bezeichnungen CVE-2025-62843 bis CVE-2025-62846 und betreffen QNAP SD-WAN-Router. Das Unternehmen stellt Korrektionen in der QuRouter-Version 2.6.3.009 bereit. Nach Angaben der Sicherheitsmitteilung erfordert die erste Schwachstelle physischen Zugriff auf das betroffene Gerät, um bestimmte Privilegien zu erlangen. Die zweite Lücke lässt sich über das lokale Netzwerk ausnutzen, um vertrauliche Informationen zu stehlen.
Besonders kritisch sind die beiden verbleibenden Fehler: Diese können von Angreifern mit administrativen Rechten genutzt werden, um unerwartetes Verhalten auszulösen oder unbefugten Programmcode auszuführen. QNAP bestätigt, dass alle vier Lücken von Team DDOS beim Pwn2Own 2025 demonstriert wurden. Das Sicherheitsteam verkettete am ersten Wettbewerbstag acht verschiedene Fehler in QNAP-Produkten und erhielt die maximale Prämie von 100.000 Dollar.
Less als drei Wochen nach dem Wettbewerb rollte QNAP bereits Fixes für zwei der vorgeführten Schwachstellen (CVE-2025-62840 und CVE-2025-62842) sowie für weitere, von anderen Teams ausgenutzte Fehler aus. Zusätzlich veröffentlichte das Unternehmen Patches für vier kritische Lücken in QuNetSwitch, die zu beliebiger Codeausführung, unbefugtem Zugriff via hartcodierter Zugangsdaten und beliebiger Befehlsausführung führen könnten. Benutzer sollten auf QuNetSwitch-Versionen 2.0.4.0415 oder 2.0.5.0906 aktualisieren.
Eine weitere kritische Schwachstelle wurde in QVR Pro identifiziert: Fehlende Authentifizierung könnte Fernangriffen Zugang zu betroffenen Systemen verschaffen. QVR Pro ab Version 2.7.4.1485 behebt dieses Problem. Daneben adressierte QNAP mittelschwere Schwachstellen in der Media Streaming Add-on und dem QuFTP Service, die zu Abstürzen oder Datenlecks führen könnten.
QNAP hat bislang keine Hinweise auf aktive Ausbeutung dieser Lücken in freier Wildbahn gemeldet. Betroffene Nutzer sollten die Updates schnellstmöglich einspielen, besonders wenn ihre Systeme über das Internet erreichbar sind.