QNAP QVR Pro 严重漏洞可导致系统遭远程访问

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

威联通（QNAP）发布安全公告，修复了QVR Pro监控软件中的一个严重漏洞CVE-2026-22898，可导致远程未认证攻击者获得对受影响系统的未授权访问权限。

QVR Pro 2.7.x版本用户必须立即安装最新补丁，确保网络附加存储环境的安全。该漏洞源自QVR Pro应用程序中的一个关键功能缺少身份验证检查，由FuzzingLabs的安全研究人员发现并报告。由于身份验证过程在某些功能上实现不当或被完全绕过，远程攻击者无需有效凭据即可与易受攻击的端点进行交互。

严重的QNAP QVR Pro漏洞

由于企业级监控应用通常处于外部网络连接与高度敏感内部数据的交汇点，因此该漏洞尤为危险。CVE-2026-22898如遭成功利用，可导致攻击者直接未授权访问运行 QVR Pro服务的 QNAP 系统。之后攻击者可操纵监控配置、访问实时或录制视频并可能跳转到位于本地网络上的其它联网设备。

网络附加存储设备常常是勒索团伙、僵尸网络操纵人员和数据勒索团伙的目标。该漏洞可导致系统遭完全攻陷、数据遭未授权盗取以及在企业网络部署恶意 payload。

漏洞已修复

威联通已在最新版本中修复该漏洞并强烈建议所有运行 QVR Pro 2.7.x 的用户立即升级至 2.7.4.1485 或后续版本。

补丁恢复了必要的身份认证检查，阻止对关键应用功能的未授权访问权限。更新时，管理员必须登录到 QTS 或 QuTS hero 界面。从主仪表盘导航至应用中心，通过搜索功能定位 QVR Pro 应用。如系统运行的是易受攻击的版本，则会显示更新选项。管理员应发起更新，等待确认信息并允许系统以安全的方式安装已修复应用。

威联通公司建议管理员验证软件更新是否成功安全，确保环境受到完全保护，免遭远程利用。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

QNAP修复高危SQL注入和路径遍历漏洞

QNAP修复Pwn2Own大赛上发现的7个 NAS 0day 漏洞

QNAP 提醒注意 Windows 备份软件中的严重 ASP.NET 漏洞

QNAP修复Pwn2Own大赛利用的多个漏洞

原文链接

https://cybersecuritynews.com/qnap-qvr-pro-vulnerability/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错，就点个 “在看” 或 "赞” 吧~