CVE-2025-66281
Alvorlig

CVE-2025-66281: Sårbarhed i QNAP QTS og QuTS hero

Sårbarhed i QNAP NAS-styresystem kan lukke din netværksdisk ned via fjernangreb – opdater straks.

CVSS Score
7.2
Offentliggjort
10/06/2026
Patch-status
available
Exploit
none_known
Tidsfrist
Opdater inden for 7 dage

Hvad er det?

CVE-2025-66281 er en sårbarhed i styresystemet på QNAP NAS-enheder (netværkstilsluttede lagerenheder). Fejlen er en såkaldt NULL pointer dereference (en programmeringsfejl, hvor softwaren forsøger at tilgå en hukommelsesadresse der ikke eksisterer), som får enheden til at gå ned og holde op med at svare. En angriber kan udnytte fejlen via internettet uden at have fysisk adgang til enheden. Angriberen skal dog have administratoradgang til enheden for at udnytte sårbarheden. QNAP har udgivet opdateringer der lukker hullet.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer der bruger QNAP NAS-enheder med følgende styresystemer:

  • QTS version 5.2.0.2737 op til 5.2.9.3410
  • QuTS hero version h5.2.0.2737 op til h5.2.9.3410
  • QuTS hero version h5.3.0.3115 op til h5.3.4.3500
  • QuTS hero version h6.0.0.3324 op til h6.0.0.3397

Mange SMV’er bruger QNAP NAS til fildeling, backup og lagring. Har du en QNAP-enhed på dit netværk, bør du tjekke hvilken version du kører.

Hvad kan ske?

En angriber med administratoradgang kan sende et særligt udformet netværkskald til din QNAP-enhed og få den til at gå ned – et såkaldt denial-of-service-angreb (DoS). Det betyder:

  • Din netværksdisk bliver utilgængelig for alle brugere
  • Igangværende backup-jobs afbrydes
  • Filer og data der er lagret på enheden, kan ikke tilgås
  • Enheden skal genstartes manuelt for at komme op igen

Sårbarheden giver ikke angriberen mulighed for at stjæle eller ændre data – fokus er på at lamme enheden. Fortrolighed og integritet er dog vurderet høj i CVSS-vektoren, hvilket afspejler den potentielle impact hvis angriberen allerede har admin-adgang.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 7.2 – Alvorlig. Det er vigtigt at bemærke, at angriberen skal have administratoradgang til enheden for at udnytte fejlen – det sænker den reelle risiko for de fleste. Til gengæld kan angrebet udføres over netværket uden yderligere brugerinteraktion. Konsekvensen er fuld nedetid på din lagringsenhed. For virksomheder der er afhængige af NAS til daglig drift, backup eller fildeling, kan selv kortvarig nedetid være kritisk.

Hvad gør jeg nu?

Følg disse trin for at beskytte din QNAP NAS-enhed:

  1. Find din version: Log ind på din QNAP’s administrationsgrænseflade og gå til Kontrolpanel → Systeminformation for at se hvilken version af QTS eller QuTS hero du kører.
  2. Opdater straks: Opdater til den nyeste tilgængelige version via Kontrolpanel → Firmwareopdatering. De sikre versioner er QTS 5.2.9.3410 (build 20260214) eller nyere, og de tilsvarende QuTS hero-versioner.
  3. Begræns administratoradgang: Sørg for at kun betroede brugere har admin-adgang til enheden, og brug stærke, unikke adgangskoder.
  4. Undgå unødvendig eksponering: Overvej om din QNAP-enhed virkelig behøver at være tilgængelig direkte fra internettet. Brug VPN hvis fjernAdgang er nødvendig.
  5. Tjek om opdateringen lykkedes: Verificér efter opdatering at enheden kører den korrekte nye version.
Tidsfrist

Opdater inden for 7 dage

Sådan ser Auroa det

Da angriberen skal have administratoradgang for at udnytte sårbarheden, er den umiddelbare risiko begrænset – men det ændrer ikke på, at opdateringen bør gennemføres hurtigt. QNAP NAS-enheder er et populært mål for angribere, og kombinationen af manglende opdateringer og svage adgangskoder har historisk ført til alvorlige hændelser. Opdatér firmware nu, gennemgå hvem der har administratoradgang, og sørg for at enheden ikke er unødigt eksponeret mod internettet.

Tidslinje

06/02/2026
QNAP udgiver første rettelse
QNAP udgiver QuTS hero h6.0.0.3397 (build 20260206), som er den første patchede version der adresserer sårbarheden.
14/02/2026
Yderligere patches udgivet
QNAP udgiver QTS 5.2.9.3410 og QuTS hero h5.2.9.3410 (build 20260214), som dækker de bredeste berørte versioner.
20/05/2026
Seneste patch til QuTS hero h5.3
QNAP udgiver QuTS hero h5.3.4.3500 (build 20260520), som lukker hullet for h5.3.x-serien.
10/06/2026
CVE offentliggjort i NVD
CVE-2025-66281 registreres officielt i National Vulnerability Database med en CVSS-score på 7.2 (Alvorlig). Ingen kendte aktive angreb er rapporteret på dette tidspunkt.

Konkrete eksempler

Angriber afbryder virksomhedens backup

En angriber der har fået fat i admin-adgangskoden til en QNAP NAS – eksempelvis via et tidligere phishing-angreb eller genbrug af en lækket adgangskode – sender et ondsindet netværkskald til enheden. QNAP’en går ned midt i en planlagt nattlig backup. Virksomheden opdager fejlen næste morgen og har ikke en gyldig backup af gårsdagens data.

Intern bruger misbruger adgang

En utilfreds medarbejder med administratorrettigheder til virksomhedens delte netværksdrev udnytter sårbarheden til bevidst at lukke QNAP-enheden ned. Alle medarbejdere mister adgang til fælles filer i arbejdstiden, og IT-afdelingen bruger tid på at diagnosticere og genstarte enheden uden at kende årsagen.

Automatiseret angreb via eksponeret administrationsgrænseflade

En virksomhed har ved en fejl eksponeret QNAP’ens administrationsgrænseflade direkte mod internettet med standard-adgangskoden. Et automatiseret scanningsværktøj finder enheden, logger ind med standard-login og udnytter sårbarheden til at crashe enheden gentagne gange. Virksomheden oplever tilbagevendende nedetid uden at forstå årsagen, indtil en sikkerhedsgennemgang afslører problemet.

Ofte stillede spørgsmål

Ramte produkter

Qnap — Qts

≥ 5.2.0.2737, < 5.2.9.3410

Qnap — Quts Hero

≥ h5.2.0.2737, < h5.2.9.3410

Qnap — Quts Hero

≥ h5.3.0.3115, < h5.3.4.3500

Qnap — Quts Hero

≥ h6.0.0.3324, < h6.0.0.3397

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
HIGH
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-476

Original NVD-beskrivelse (engelsk)

A NULL pointer dereference vulnerability has been reported to affect several QNAP operating system versions. The remote attackers can then exploit the vulnerability to launch a denial-of-service (DoS) attack.

We have already fixed the vulnerability in the following versions:
QTS 5.2.9.3410 build 20260214 and later
QuTS hero h5.2.9.3410 build 20260214 and later
QuTS hero h5.3.4.3500 build 20260520 and later
QuTS hero h6.0.0.3397 build 20260206 and later

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.2
Visning
Hurtige fakta
CVE-ID
CVE-2025-66281
Offentliggjort
10/06/2026
Sidst opdateret
17/06/2026
Exploit-status
none_known
Patch-status
available
Tidsfrist
Opdater inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.