QNAP Systems, Uzak Saldırganların kimlik doğrulama mekanizmalarını tamamen atlamasına ve yetkisiz sistem erişimi kazanmasına izin verebilecek, eski Viostor Network Video Recorder (NVR) ürün yazılımında kritik bir güvenlik açığı açıklamıştır.
Güvenlik açığı, QVR ürün yazılımı sürüm 5.1.x’i eski Viostor NVR’de çalıştırıyor
Key Takeaways
1. Two vulnerabilities allow remote authentication bypass and unauthorized file access in QNAP VioStor NVR systems.
2. Upgrade to QVR firmware 5.1.6 build 20250621.
3. Complete system compromise possible, exposing surveillance data and controls.
CVE-2025-52856: Yanlış Kimlik Doğrulama Güvenlik Açığı
CVE-2025-52856, sistem güvenliği için önemli etkileri olan uygunsuz bir kimlik doğrulama kırılganlığı olarak sınıflandırılan bu güvenlik danışmanlığının en kritik bileşenini temsil eder.
Bu kusur, uzak saldırganların normal kimlik doğrulama işlemini tamamen atlatmalarını sağlar, oturum açma kimlik bilgilerini, çok faktörlü kimlik doğrulama ve QVR ürün yazılımında uygulanan diğer güvenlik kontrollerini etkili bir şekilde atlar.
Güvenlik açığı, kusurlu kimlik doğrulama mantığının veya eksik doğrulama kontrollerinin geçerli kullanıcı kimlik bilgileri gerektirmeden yetkisiz erişimi etkinleştirdiği uygulama katmanında çalışır.
Yanlış kimlik doğrulama mekanizması, saldırganların başlangıç sistem erişimi kazanması için doğrudan bir yol oluşturur, bu da bu güvenlik açığını daha fazla sömürü için giriş noktası olarak hizmet ettiği için özellikle tehlikeli hale getirir.
Uzaktan saldırganlar, bu kusurları Viostor NVR cihazına ağ bağlantıları aracılığıyla kullanabilir ve potansiyel olarak yönetici ayrıcalıkları üstlenmelerine ve meşru kullanıcı hesapları hakkında önceden bilgi sahibi olmaksızın hassas gözetim verilerine, yapılandırma ayarlarına ve sistem denetimlerine erişmelerine izin verebilir.
CVE-2025-52861: Yol geçiş güvenlik açığı
CVE-2025-52861, bir saldırgan kimlik doğrulama bypass aracılığıyla yönetici düzeyinde erişim kazandığında kullanılabilir hale gelen bir dizin geçiş saldırısı olarak da bilinen bir yol geçiş güvenlik açığıdır.
Bu güvenlik açığı, kötü amaçlı aktörlerin, tipik olarak üst dizinlere ve hassas sistem dosyalarına erişmek için “../” dizileri gibi teknikleri kullanarak dosya yolu parametrelerini manipüle ederek kısıtlı dizin sınırlarının dışında gezinmesini sağlar.
Başarılı bir şekilde kullanıldığında, bu yol geçiş kusuru, saldırganların hassas sistem parametreleri, kullanıcı kimlik bilgisi veritabanları, kriptografik anahtarlar ve diğer kritik sistem verileri içeren yapılandırma dosyaları da dahil olmak üzere, amaçlanan erişim kapsamının ötesinde keyfi dosyaları okumasını sağlar.
| CVE kimliği | Başlık | Şiddet |
| CVE-2025-52856 | QVR ürün yazılımında yanlış kimlik doğrulama güvenlik açığı | Önemli |
| CVE-2025-52861 | QVR ürün yazılımında yol geçiş güvenlik açığı | Önemli |
QNAP, QVR ürün yazılımı sürüm 5.1.6 Build 20250621’de hem de daha sonraki sürümlerde güvenlik açıklarını çözdü.
Şirket, QVR 5.1.x ürün yazılımı ile Legacy Viostor NVR sistemlerini çalıştıran tüm kullanıcıların bu güvenlik risklerini azaltmak için hemen yamalı sürüme yükseltmesini şiddetle tavsiye ediyor.
Güncelleme işlemi, en son ürün yazılımı dosyasını yüklemek ve yüklemek için kullanıcıların Kontrol Paneli> Sistem Ayarları> Bellenim Güncellemesi için gezinmesi gereken Viostor NVR web arayüzüne yönetici erişim gerektirir.
Güvenlik açıkları, 360 güvenlikten güvenlik araştırmacısı Hou Liuyang tarafından keşfedildi ve bildirildi ve kritik güvenlik kusurlarının belirlenmesinde ve ele alınmada koordineli güvenlik açığı açıklamasının önemini vurguladı.
Ağ yöneticileri, kimlik doğrulama bypass ve yol geçiş güvenlik açıklarının birleşimi olarak bu güncellemeye öncelik vermelidir, saldırganların etkilenen NVR sistemleri üzerinde tam kontrol sahibi olabileceği, potansiyel olarak video gözetim altyapısını tehlikeye atabileceği ve kayıtlı görüntülere veya canlı kamera yemlerine erişebileceği yüksek riskli bir senaryo oluşturur.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.