آسیبپذیری CVE-2025-59385 (با شدت 8.1 از 10) یک نقص امنیتی از نوع Authentication Bypass by Spoofing است که به مهاجم اجازه میدهد بدون داشتن نام کاربری و رمز عبور معتبر، به منابع حساس سیستم دسترسی پیدا کند. این حمله از راه دور قابل بهرهبرداری است (AV:N)، نیاز به سطح دسترسی ندارد (PR:N)، و هیچ تعامل کاربری لازم نیست (UI:N). پیچیدگی حمله پایین است (AC:L) و مهاجم میتواند با ارسال درخواستهای جعلی، فرآیند احراز هویت را دور بزند. این آسیبپذیری باعث میشود محرمانگی، یکپارچگی و دسترسپذیری سیستم به شدت آسیب ببیند (VC:H/VI:H/VA:H).
- دستگاههای ذخیرهسازی تحت شبکه (NAS) شرکت QNAP با سیستمعامل QTS نسخههای قدیمیتر از 5.2.7.3297 build 20251024
- دستگاههای NAS با سیستمعامل QuTS hero h5.2.7.3297 build 20251024 و نسخههای قدیمیتر
- دستگاههای NAS با سیستمعامل QuTS hero h5.3.1.3292 build 20251024 و نسخههای قدیمیتر
- بهروزرسانی سیستمعامل QTS یا QuTS hero به نسخههای اصلاحشده منتشرشده توسط QNAP
- محدودسازی دسترسی به رابط مدیریتی NAS از طریق اینترنت و استفاده از VPN یا فایروال
- بررسی لاگهای امنیتی برای شناسایی دسترسیهای مشکوک یا غیرمجاز
- اجرای تست نفوذ داخلی برای ارزیابی میزان آسیبپذیری در محیط سازمانی
- آموزش مدیران سیستم و کاربران برای رعایت اصول امنیتی و جلوگیری از استفاده از حسابهای غیرمجاز
منبع خبر
- 314