聚焦源代码安全网罗国内外最新资讯编译代码卫士威联通QNAP发布安全公告修复了QVR Pro监控软件中的一个严重漏洞CVE-2026-22898可导致远程未认证攻击者获得对受影响系统的未授权访问权限。QVR Pro 2.7.x版本用户必须立即安装最新补丁确保网络附加存储环境的安全。该漏洞源自QVR Pro应用程序中的一个关键功能缺少身份验证检查由FuzzingLabs的安全研究人员发现并报告。由于身份验证过程在某些功能上实现不当或被完全绕过远程攻击者无需有效凭据即可与易受攻击的端点进行交互。严重的QNAP QVR Pro漏洞由于企业级监控应用通常处于外部网络连接与高度敏感内部数据的交汇点因此该漏洞尤为危险。CVE-2026-22898如遭成功利用可导致攻击者直接未授权访问运行 QVR Pro服务的 QNAP 系统。之后攻击者可操纵监控配置、访问实时或录制视频并可能跳转到位于本地网络上的其它联网设备。网络附加存储设备常常是勒索团伙、僵尸网络操纵人员和数据勒索团伙的目标。该漏洞可导致系统遭完全攻陷、数据遭未授权盗取以及在企业网络部署恶意 payload。漏洞已修复威联通已在最新版本中修复该漏洞并强烈建议所有运行 QVR Pro 2.7.x 的用户立即升级至 2.7.4.1485 或后续版本。补丁恢复了必要的身份认证检查阻止对关键应用功能的未授权访问权限。更新时管理员必须登录到 QTS 或 QuTS hero 界面。从主仪表盘导航至应用中心通过搜索功能定位 QVR Pro 应用。如系统运行的是易受攻击的版本则会显示更新选项。管理员应发起更新等待确认信息并允许系统以安全的方式安装已修复应用。威联通公司建议管理员验证软件更新是否成功安全确保环境受到完全保护免遭远程利用。开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读QNAP修复高危SQL注入和路径遍历漏洞QNAP修复Pwn2Own大赛上发现的7个 NAS 0day 漏洞QNAP 提醒注意 Windows 备份软件中的严重 ASP.NET 漏洞QNAP修复Pwn2Own大赛利用的多个漏洞原文链接https://cybersecuritynews.com/qnap-qvr-pro-vulnerability/题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~