CVE-2026-22893
Alvorlig

CVE-2026-22893: Kritisk sårbarhed i QNAP NAS

Kritisk sårbarhed i QNAP NAS-systemer giver hackere fuld kontrol, hvis de har adgang til administratorkontoen.

CVSS Score
7.2
Offentliggjort
10/06/2026
Patch-status
available
Exploit
theoretical
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

CVE-2026-22893 er en såkaldt command injection-sårbarhed (kommandoindsprøjtning) i styresystemerne QTS og QuTS hero, som bruges på QNAP NAS-enheder (netværkstilsluttede lagerenheder). Fejlen betyder, at en angriber, der har adgang til en administratorkonto, kan få enheden til at udføre vilkårlige kommandoer — altså køre sine egne programmer og handlinger direkte på enheden. QNAP har udgivet opdateringer der lukker hullet, men enheder der ikke er patchede (opdaterede), er stadig sårbare.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger QNAP NAS-enheder med følgende styresystemer:

  • QTS version 5.2.0.2737 op til (men ikke inkl.) 5.2.9.3410
  • QuTS hero version h5.2.0.2737 op til h5.2.9.3410
  • QuTS hero version h5.3.0.3115 op til h5.3.4.3500
  • QuTS hero version h6.0.0.3324 op til h6.0.0.3459

Har du en QNAP NAS og ikke opdateret den for nylig, bør du tjekke din version med det samme.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan vedkommende overtage fuld kontrol over din NAS-enhed. Det betyder i praksis:

  • Datatyveri: Alle filer på enheden kan kopieres og sendes til hackeren.
  • Ransomware: Dine data kan krypteres og gøres utilgængelige, hvorefter der kræves løsesum.
  • Sletning af data: Filer og sikkerhedskopier kan slettes permanent.
  • Bagdør: Hackeren kan installere skjult software, der giver vedvarende adgang til dit netværk.

Da NAS-enheder ofte bruges til sikkerhedskopiering, kan et angreb ramme både driftsdata og backups på én gang.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 7.2 (Alvorlig). Angrebet sker over netværket uden fysisk adgang, og der kræves ingen interaktion fra brugere. Den eneste begrænsning er, at angriberen skal have administratoradgang til enheden. Konsekvenserne for fortrolighed, integritet og tilgængelighed er alle vurderet som høje — det vil sige, at et vellykket angreb kan give hackeren fuld kontrol over enhedens data og funktioner.

Hvad gør jeg nu?

Du bør opdatere din QNAP NAS hurtigst muligt. Følg disse trin:

  1. Find din nuværende version: Log ind på din QNAP administrationsgrænseflade og gå til Kontrolpanel → System → Firmwareopdatering. Notér versionsnummeret.
  2. Tjek om du er berørt: Sammenlign din version med de berørte versioner nævnt ovenfor. Er du i tvivl, så opdater alligevel.
  3. Installér opdateringen: Opdatér til mindst følgende versioner: QTS 5.2.9.3410 build 20260214 eller nyere, QuTS hero h5.2.9.3410, h5.3.4.3500 eller h6.0.0.3459 (alt efter din linje).
  4. Begræns adgang: Sørg for at din NAS ikke er direkte tilgængelig fra internettet. Brug en VPN (krypteret forbindelseskanal), hvis du har behov for fjernadgang.
  5. Gennemgå administratorkonti: Tjek at kun nødvendige brugere har administratorrettigheder, og at alle konti har stærke, unikke adgangskoder.
  6. Kontakt support: Er du usikker på processen, så kontakt din IT-leverandør eller Auroa for hjælp.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Auroa anbefaler, at du opdaterer din QNAP NAS-enhed til en sikker version så hurtigt som muligt — helst inden for ugen. Sørg desuden for at lukke for direkte adgang til NAS-enheden fra internettet, og brug VPN til fjernadgang. Har du ikke ressourcerne til at håndtere dette selv, er du velkommen til at kontakte os for praktisk hjælp.

Tidslinje

14/02/2026
Første patches frigivet
QNAP udgiver QTS 5.2.9.3410 og QuTS hero h5.2.9.3410 build 20260214, som løser sårbarheden for de første berørte versioner.
09/04/2026
Patch til QuTS hero h6.0-linjen
QNAP udgiver QuTS hero h6.0.0.3459 build 20260409, der lukker hullet for brugere af h6.0-linjen.
20/05/2026
Patch til QuTS hero h5.3-linjen
QNAP udgiver QuTS hero h5.3.4.3500 build 20260520, som er den sidste manglende opdatering og dermed lukker hullet for alle berørte produktlinjer.
10/06/2026
CVE offentliggjort i NVD
Sårbarheden registreres officielt i NVDs (National Vulnerability Database) katalog med CVSS-score 7.2, og detaljer bliver offentligt tilgængelige for alle — herunder potentielle angribere.

Konkrete eksempler

Adgang via svagt administratorpassword

En angriber scanner internettet for QNAP-enheder og finder din NAS, som er eksponeret via portvideresendig på din router. Med et automatiseret værktøj afprøver hackeren kendte standardpasswords og svage kombinationer. Lykkes det at logge ind som administrator, injicerer hackeren kommandoer via sårbarheden og installerer ransomware, der krypterer alle dine filer — inklusive dine sikkerhedskopier.

Phishing giver adgang til administratorkonto

En medarbejder med administratoradgang til virksomhedens QNAP modtager en falsk e-mail, der ligner en officiel besked fra QNAP. Medarbejderen klikker på et link og indtaster sine loginoplysninger på en falsk hjemmeside. Hackeren bruger disse oplysninger til at logge ind på NAS-enheden og udnytter CVE-2026-22893 til at køre egne programmer, oprette en skjult bagdørskonto og over tid eksfiltrere (sende ud) fortrolige virksomhedsdata.

Intern trussel via kompromitteret netværk

En angriber har allerede kompromitteret en medarbejders computer via malware. Fra denne computer tilgår hackeren det interne netværk og identificerer en QNAP NAS med en sårbar firmware-version. Da NAS-enhedens administratorpanel er tilgængeligt internt, udnytter hackeren CVE-2026-22893 til at overtage enheden og slette alle sikkerhedskopier, inden et ransomware-angreb igangsættes mod hele virksomhedens netværk.

Ofte stillede spørgsmål

Ramte produkter

Qnap — Qts

≥ 5.2.0.2737, < 5.2.9.3410

Qnap — Quts Hero

≥ h5.2.0.2737, < h5.2.9.3410

Qnap — Quts Hero

≥ h5.3.0.3115, < h5.3.4.3500

Qnap — Quts Hero

≥ h6.0.0.3324, < h6.0.0.3459

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
HIGH
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-78

Original NVD-beskrivelse (engelsk)

A command injection vulnerability has been reported to affect several QNAP operating system versions. If a remote attacker gains an administrator account, they can then exploit the vulnerability to execute arbitrary commands.

We have already fixed the vulnerability in the following versions:
QTS 5.2.9.3410 build 20260214 and later
QuTS hero h5.2.9.3410 build 20260214 and later
QuTS hero h5.3.4.3500 build 20260520 and later
QuTS hero h6.0.0.3459 build 20260409 and later

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.2
Visning
Hurtige fakta
CVE-ID
CVE-2026-22893
Offentliggjort
10/06/2026
Sidst opdateret
17/06/2026
Exploit-status
theoretical
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.