QNAP, NetBak Replicator yardımcı programında yerel saldırganların yetkisiz kod yürütmesine izin verebilecek bir güvenlik açığı detaylandıran bir güvenlik danışmanlığı yayınladı.
CVE-2025-57714 olarak tanımlanan kusur, “önemli” olarak derecelendirilmiştir ve yedekleme ve geri yükleme yazılımının belirli sürümlerini etkiler. Şirket zaten bir yama yayınladı ve kullanıcıları potansiyel sömürüyü önlemek için sistemlerini güncellemeye çağırıyor.
Bu güvenlik açığı, NetBak Replicator yazılımındaki notasız bir arama yolundan veya öğesinden kaynaklanmaktadır. Bu tür bir kusur, yürütülebilir bir dosyaya giden yol, tırnak işaretlerine düzgün bir şekilde eklenmediğinde ortaya çıkar.
Yerel bir saldırgan, sistemdeki bir kullanıcı hesabına zaten erişim elde etmişse, meşru programın yolunun bir üst dizinine kötü amaçlı bir yürütülebilir dosyayı yerleştirebilirler.
İşletim sistemi, istenen yerine kötü amaçlı dosyayı yanlışlıkla yürütebilir ve çalışan uygulamanın izinleriyle yetkisiz kod yürütülmesine yol açabilir.
Etkilenen ürünler
Güvenlik açığı özellikle Netbak Replicator sürümlerini 4.5.x’i etkiler. 4 Ekim 2025’te yayınlanan danışmanlığa göre, başarılı bir istismar, bir saldırganın yerel bir kullanıcı hesabına önceden erişmesini gerektirir.
Oradan, keyfi komutları veya kodları yürütmek için belirtilmemiş arama yolundan yararlanabilirler. Bu, saldırganın ayrıcalıkları artırmasına, kalıcı kötü amaçlı yazılımları yüklemesine veya tehlikeye atılan sistemdeki verileri manipüle etmesine izin verebilir.
Saldırı yerel erişim gerektirse de, çok kullanıcı ortamlarda veya ayrıcalık artışı için bir sömürü sonrası tekniği olarak önemli bir riski temsil eder.
| CVE kimliği | Etkilenen ürün (ler) | Darbe | Önkoşul | CVSS 3.1 puanı |
|---|---|---|---|---|
| CVE-2025-57714 | Netbak Replicator 4.5.x | Yetkisiz Kod Yürütme | Kullanıcı hesabı erişimi olan yerel saldırgan | Kamuya açıklanmadı |
Hafifletme
QNAP, Netbak Replicator sürüm 4.5.15.0807 ve sonraki tüm sürümlerde güvenlik kusurunu ele aldı.
Şirket, etkilenen yazılım sürümlerinin tüm kullanıcılarının, cihazlarını potansiyel saldırılardan korumak için hemen en son yama sürümüne güncellemesini tavsiye eder.
Kullanıcılar en son yazılım güncellemelerini resmi QNAP Utilities web sayfasını ziyaret ederek bulabilir. Yazılımın düzenli olarak güncellenmesi, sistemlerin yeni keşfedilen güvenlik açıklarına ve tehditlerine karşı korunmasını sağlayan kritik bir güvenlik uygulamasıdır. Bu kırılganlığın keşfi, Ierae, Inc.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
