威联通(QNAP)在2026年1月3日发布两份安全通报,针对NAS上的两个应用程序,分别是自动归档与文件整理应用程序Qfiling,以及多应用程序恢复服务MARS(Multi-Application Recovery Service)修补弱点。Qfiling属于路径穿越(Path Traversal)漏洞,要是遭利用,远程攻击者可能读取非预期文件内容或系统数据。MARS则为SQL注入漏洞,远程攻击者可滥用于执行未授权程序代码或命令。两份通报严重程度皆为重要,官方建议用户更新至已修补版本或更新版以降低风险。
威联通指出Qfiling存在路径穿越漏洞CVE-2025-59384,受影响范围为Qfiling 3.13.x。通报指出,当该漏洞遭利用,攻击者可能绕过原先预期的路径限制,进而读取不应被访问的文件内容或系统数据。官方表示已在Qfiling 3.13.1以上版本修补,并建议更新至最新版以降低风险。
另一份安全通报指出,MARS存在SQL注入漏洞CVE-2025-59387,受影响范围为MARS 1.2.x。通报说明,该漏洞允许远程攻击者执行未授权程序代码或命令。威联通已在MARS 1.2.1.1686以上版本修补,并建议用户更新至最新版。
针对更新作业,威联通在两份通报均建议于QTS或QuTS hero的App Center,将对应应用程序更新至已修补版本或更新版,以降低遭远程利用的可能性。官方另外提醒,MARS自1.3.x起更名为HDP for WordPress。
