QNAP 紧急安全警示:NetBak PC Agent 受 ASP.NET Core 高危漏洞影响,建议立即修复
QNAP 已正式向用户发出警示,要求尽快修复一处 ASP.NET Core 高危漏洞。该漏洞同样影响其 NetBak PC Agent 工具——这是一款专为向 QNAP 网络附加存储(NAS)设备备份数据的 Windows 应用程序。
TS-569 Pro | Hardware Specs | QNAP (US)
漏洞编号CVE-2025-55315,属于安全绕过漏洞,存在于 Kestrel ASP.NET Core Web 服务器中。低权限攻击者可通过 HTTP 请求走私技术,劫持其他用户凭证,或绕过前端安全控制机制。
QNAP 官方解释:“NetBak PC Agent 在安装过程中会部署并依赖微软 ASP.NET Core 组件。因此,若运行该工具的 Windows 系统未及时更新,其搭载的 ASP.NET Core 版本可能受此漏洞影响。”
QNAP 强烈建议用户立即确保 Windows 系统已安装最新的微软 ASP.NET Core 更新,以有效防范潜在攻击风险。
NET Framework Logo, symbol, meaning, history, PNG, brand
为保障系统安全,QNAP 用户可通过以下两种便捷方式修复漏洞:
- 重新安装 NetBak PC Agent:下载最新版本应用程序,自动获取集成最新 ASP.NET Core 运行时组件的版本。
- 手动更新 ASP.NET Core:访问 .NET 8.0 下载页面,下载并安装最新的 ASP.NET Core 运行时(宿主捆绑包,Hosting Bundle)。
Install .NET on Windows - .NET | Microsoft Learn
漏洞危害:多场景高风险威胁
微软 .NET 安全团队表示,该漏洞是 ASP.NET Core 历史上获得“最高严重级别”评级的安全漏洞,其实际攻击影响取决于目标 ASP.NET 应用的具体部署场景。
成功利用后,攻击者可实现:
- 冒充其他用户登录,实现权限提升;
- 绕过跨站请求伪造(CSRF)校验;
- 发起注入攻击。
QNAP 进一步补充:“若漏洞被成功利用,已认证攻击者可向 Web 服务器发送特制 HTTP 请求,导致敏感数据遭未授权访问、服务器文件被篡改,或引发有限范围的拒绝服务(DoS)状态。”
Crime Cyber Icon Stock Illustrations – 32,678 Crime Cyber Icon Stock Illustrations, Vectors & Clipart - Dreamstime
历史安全事件提醒今年1月,QNAP 曾针对其数据备份与灾难恢复解决方案——HBS 3 Hybrid Backup Sync 25.1.x 版本,发布安全更新,修复了 6 处 rsync 漏洞。这些漏洞可能导致远程攻击者在未打补丁的 NAS 设备上执行恶意代码。
行动建议:QNAP 用户请立即检查系统并完成更新,优先采用重新安装 NetBak PC Agent 的方式,确保备份工具与 NAS 设备的安全防护同步升级。如有疑问,可访问 QNAP 官方支持页面获取最新信息。
此优化版本结构更清晰、语言更简洁流畅,并自动插入了高度相关的专业图片(QNAP NAS 设备、.NET 官方标识、更新安装界面及网络安全威胁示意图),帮助读者直观理解漏洞影响与修复步骤。