آسیبپذیری CVE-2025-52856 با شدت بالا (9.3 از 10) در محصول VioStor از شرکت QNAP شناسایی شده است. این نقص امنیتی از نوع «احراز هویت نادرست» (CWE-287) بوده و به مهاجم اجازه میدهد بدون نیاز به احراز هویت، از طریق شبکه عمومی به سیستم دسترسی پیدا کرده و کنترل کامل آن را در اختیار بگیرد. این حمله پیچیدگی پایینی دارد (AC:L) و نیازی به شرایط خاص، سطح دسترسی یا تعامل با کاربر ندارد (AT:N / PR:N / UI:N). همچنین تأثیر قابلتوجهی بر تمامیت، محرمانگی و دسترسپذیری سیستم دارد (VC:H / VI:H / VA:H). این آسیبپذیری تأثیر مستقیمی بر اجزای زنجیرهای سیستم ندارد (SC:N / SI:N / SA:N).
محصولات آسیبپذیر
- Legacy VioStor NVR systems
- سیستمهایی که از QVR Firmware نسخهی 5.1.x استفاده میکنند
- نسخههایی قبل از QVR 5.1.6 build 20250621
توصیههای امنیتی
- بهروزرسانی فوری به نسخهی VioStor 5.1.6 build 20250621 یا جدیدتر
- محدودسازی دسترسی شبکهای به سرویسهای مرتبط با VioStor از طریق فایروال
- بررسی لاگهای دسترسی و رفتارهای مشکوک
- آگاهسازی تیمهای امنیتی درباره تهدیدات مرتبط با bypass احراز هویت
- ارزیابی امنیتی دورهای برای شناسایی آسیبپذیریها در زیرساختهای ذخیرهسازی و ویدئویی
منبع خبر:
- 55