1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. QNAP、レガシーVioStor NVR向けQVRに複数の重要脆弱性(CVE-2025-52856,CVE-2025-52861)

QNAP、レガシーVioStor NVR向けQVRに複数の重要脆弱性(CVE-2025-52856,CVE-2025-52861)

セキュリティニュース

投稿日時: 更新日時:

QNAP、レガシーVioStor NVR向けQVRに複数の重要脆弱性(CVE-2025-52856,CVE-2025-52861)

NASメーカーのQNAPは、2025年8月29日レガシーVioStor NVR向けQVR 5.1.xで複数の脆弱性が報告されたとして、修正済みファームウェアを公開しました。

対象バージョン

5.1.x のうち修正前

対策バージョン

QVR 5.1.6 build 20250621 以降

脆弱性の概要

複数の脆弱性を悪用する事により認証回避によりデバイス乗っ取り、録画データへの不正アクセス、設定改ざん・停止などのリスクがあります。さらに管理者アカウントを奪取された場合、パストラバーサルで想定外のシステムファイルや機密データが読み出される恐れがあります。

CVE-2025-52856(不適切な認証)

リモート攻撃者が認証機構の欠陥を突き、有効な資格情報なしに保護領域へ到達できる可能性があります。

装置の完全な妥協(録画視聴・設定変更・ユーザー作成等)に直結し得るため、最優先での対処が必要です。

CVE-2025-52861(パストラバーサル)

攻撃者が管理者権限を得た後、ディレクトリトラバーサルによって本来想定しないファイルや構成情報を閲覧できる問題です。初期侵入(例:52856の悪用、弱いパスワード、流出クレデンシャル)と組み合わさると被害の深刻度が増します。

関連記事

CISAが5件の深刻な脆弱性をKEVカタログに追加-ASUSルーターやCraft CMSにリモートコード実行リスクCISAが5件の深刻な脆弱性をKEVカタログに追加-ASUSルーターやCraft CMSにリモートコード実行リスク a-blog cms に複数の深刻な脆弱性-SSRF脆弱性はCVSSスコア9.2、即時のアップデートを推奨a-blog cms に複数の深刻な脆弱性-SSRF脆弱性はCVSSスコア9.2、即時のアップデートを推奨 SonicWall SMA100シリーズに重大な脆弱性、複合的なサイバー攻撃のリスクに警戒-JPCERTCCSonicWall SMA100シリーズに重大な脆弱性、複合的なサイバー攻撃のリスクに警戒-JPCERT/CC dell-storage-manager-auth-bypass-cve-2025-43995Dell Storage Managerに深刻な認証回避の脆弱性(CVE-2025-43995)-未認証で管理APIに到達の恐れ SAP、11月の月例パッチで緊急2件を含む20件を修正-(CVE-2025-4289,CVE-2025-42887)SAP、11月の月例パッチで緊急2件を含む20件を修正-(CVE-2025-4289,CVE-2025-42887) QNAP、NAS 連携ツールの危険度の高い脆弱性(CVE-2025-57714)を含む複数の脆弱性を修正QNAP、NAS 連携ツールの危険度の高い脆弱性(CVE-2025-57714)を含む複数の脆弱性を修正 7-ZipにZIP解凍時のパストラバーサル 脆弱性(CVE-2025-11001,CVE-2025-11002)、今すぐアップデートを7-ZipにZIP解凍時のパストラバーサル 脆弱性(CVE-2025-11001,CVE-2025-11002)、今すぐアップデートを Moxa 産業用アプライアンスに複数の深刻な脆弱性(CVE-2025-6892、-6893、-6894、-6949、-6950)Moxa 産業用アプライアンスに複数の深刻な脆弱性(CVE-2025-6892、-6893、-6894、-6949、-6950) Kibanaに深刻な脆弱性、対象者はアップデートを(CVE-2024-12556)Kibanaに深刻な脆弱性、対象者はアップデートを(CVE-2024-12556)