QNAP hat am Freitag Patches für eine Reihe von Schwachstellen über mehrere Produkte hinweg angekündigt. Vier davon wurden im Oktober 2025 auf dem Hacking-Wettbewerb Pwn2Own Ireland vorgeführt.
Die vier Sicherheitslücken werden unter den Kennungen CVE-2025-62843 bis CVE-2025-62846 geführt und betreffen die SD-WAN-Router des Herstellers. Sie wurden mit QuRouter in der Version 2.6.3.009 geschlossen. Laut dem Sicherheitshinweis von QNAP setzt die erste Lücke physischen Zugriff auf ein verwundbares Gerät voraus, um bestimmte Privilegien zu erlangen. Die zweite lässt sich über das lokale Netzwerk ausnutzen, um an sensible Informationen zu gelangen. Die beiden übrigen Schwachstellen erlauben Angreifern mit administrativen Rechten, unerwartetes Geräteverhalten auszulösen oder nicht autorisierten Code beziehungsweise Befehle auszuführen.
Nach Angaben des Herstellers wurden alle vier Schwachstellen auf der Pwn2Own 2025 vom Team DDOS ausgenutzt. Am ersten Tag des Wettbewerbs verkettete das Team acht Fehler in QNAP-Routern und NAS-Geräten, um Root-Rechte zu erlangen, und erhielt dafür eine Prämie von 100.000 US-Dollar. Weniger als drei Wochen nach dem Wettbewerb hatte QNAP bereits Korrekturen für zwei der vorgeführten Lücken bereitgestellt, namentlich CVE-2025-62840 und CVE-2025-62842, sowie für weitere von anderen Teams ausgenutzte Probleme.
Über die Pwn2Own-Lücken hinaus veröffentlichte QNAP am Freitag Patches für vier Schwachstellen in QuNetSwitch, die zu beliebiger Codeausführung, unbefugtem Zugriff über fest hinterlegte Zugangsdaten sowie zur Ausführung beliebiger Befehle führen können. Der Hersteller stufte den entsprechenden Hinweis als kritisch ein und fordert Nutzer auf, auf die QuNetSwitch-Versionen 2.0.4.0415 und 2.0.5.0906 oder neuer zu aktualisieren.
Als weiteres kritisches Problem nennt QNAP eine fehlende Authentifizierung in QVR Pro, durch die entfernte Angreifer Zugriff auf verwundbare Systeme erhalten könnten. Behoben wird die Lücke ab QVR Pro 2.7.4.1485. Zusätzlich schloss das Unternehmen mittelschwere Schwachstellen im Media Streaming Add-on und im QuFTP Service, die zu Abstürzen oder Datenabflüssen führen können.
QNAP erwähnt bei keiner dieser Schwachstellen eine Ausnutzung außerhalb des Wettbewerbs. Weitere Informationen stellt das Unternehmen auf seiner Seite mit Sicherheitshinweisen bereit.
