QNAP, la empresa taiwanesa especializada en diseño y fabricación de dispositivos de almacenamiento conectado en red (NAS) y soluciones asociadas, se ve afectada por una vulnerabilidad de evasión de autenticación y otra de path traversal.
Las vulnerabilidades identificadas con los códigos CVE-2025-52856 y CVE-2025-52861 afectan concretamente al componente QVR para VioStor NVR heredado (legacy), específicamente en la rama versiones 5.1.x, tal y como se ha indicado en la publicación de su boletín de seguridad.
Análisis de CVE-2025-52856
La primera de estas vulnerabilidades tiene que ver con un problema en el sistema de autenticación del firmware QVR (VioStor) que hace posible que quienes quieran atacar el sistema puedan, de manera remota, omitir todo sistema de autenticación y obtener consecuentemente acceso al mismo sin necesidad de credenciales válidas ni otros mecanismos de defensa como sistemas multifactor.
Esta vulnerabilidad, que se puede concatenar con la que se describe a continuación para poder escalar el ataque, opera en la capa de aplicación, donde radica el fallo en el sistema de autenticación.
Análisis de CVE-2025-52861
En este caso, si un atacante remoto obtiene acceso a una cuenta con permisos de administración podría llegar a explotar la vulnerabilidad para acceder a ficheros e información del sistema para la cual, inicialmente, no tenía autorización.
Esta vulnerabilidad suele explotarse, en su versión más sencilla, manipulando los parámetros que incluyen rutas a ficheros/directorios utilizando técnicas como el clásico «../«, de manera que si la aplicación es vulnerable, se podría llegar a acceder a datos sensibles del sistema. Debido a que, según el caso, la información a la que se accedería podría contener credenciales y aspectos de configuración del servidor, el ataque se podría llevar hasta lograr el compromiso total de la infraestructura donde se encuentra el sistema vulnerable.
Versiones afectadas
Como se mencionaba casi al principio de este artículo, las versiones afectadas abarcan la rama 5.1.x de QVR, habiendo QNAP informado a sus usuarios en el mismo boletín de seguridad de la posibilidad de actualizar el sistema a la versión 6.1.6 (20250621) o posterior para que el sistema quede protegido. Además, el proveedor especifica cuáles son los pasos a seguir para aplicar la actualización:
- Iniciar sesión en VioStor NVR con privilegios de administración.
- Ir al panel de control -> Configuración del sistema -> Actualización del firmware.
- Seleccionar la pestaña «Actualización de firmware».
- Hacer clic en «Explorar…» (puede variar según el idioma) para subir el fichero de la versión actualizada del producto. QNAP referencia la URL de descarga para asegurar una actualización de firmware legítima.
- Hacer clic en «Actualizar sistema».
Se recomienda que todas aquellas personas que hayan detectado que su infraestructura se ve afectada por este problema actualicen a una versión no vulnerable a la mayor brevedad posible.
Más información
- QNAP Vulnerability Let Attackers Bypass Authentication and Access Unauthorized Files
- Multiple Vulnerabilities in QVR Firmware for Legacy VioStor NVR
- CVE-2025-52861
- CVE-2025-52856
La entrada De cero a root: cómo dos vulnerabilidades críticas exponen los sistemas QNAP se publicó primero en Una Al Día.
