QNAP actualiza QTS, QuTS y aplicaciones como QuMagic para solucionar varias vulnerabilidades de seguridad

por Antonio Delgado Hace 9 horas

QNAP ha publicado dos boletines de seguridad que solucionan diversas vulnerabilidades en sus aplicaciones y sistemas operativos. El primer paquete de correcciones corrige fallos de gravedad crítica que permiten el acceso no autorizado a archivos, mientras que el segundo soluciona agujeros de seguridad importantes en el firmware principal que permitirían desde inyecciones de comandos hasta ataques de denegaciones de servicio.

El boletín QSA-26-35 se centra en fallos críticos en la aplicación de gestión de fotos QuMagie y en la herramienta License Center. Las vulnerabilidades de QuMagie (CVE-2026-26236, CVE-2026-26237 y CVE-2026-44083) permiten a atacantes remotos no autenticados saltarse los controles de acceso para visualizar archivos multimedia almacenados, acceder a las miniaturas del reconocimiento facial por IA y descargar álbumes completos. Otras mejoras de seguridad también se han aplicado en estas actualizaciones.

Por otra parte, el boletín QSA-26-10 se centra en vulnerabilidades en los sistemas operativos de sus NAS: QTS, QuTS hero, QuTS cloud y en los sistemas de videovigilancia QVP. Entre los fallos corregidos se incluye una vulnerabilidad que permitía inyección de URL para la suplantación de páginas de restablecimiento de contraseña (CVE-2025-59382), múltiples inyecciones de comandos que permiten la ejecución arbitraria de código con privilegios elevados (CVE-2025-66273, CVE-2025-66279 y CVE-2026-22893) y diversos fallos que podían dar lugar a ataques de desbordamientos de búfer que podían provocar caídas del sistema o denegaciones de servicio.

Las actualizaciones con los parches de seguridad ya se encuentran disponibles. QNAP ha confirmado el despliegue de las siguientes versiones de software para corregir los fallos descritos: