CVE-2026-24719
Alvorlig

CVE-2026-24719: Kritisk sårbarhed i QNAP QTS

Kritisk sårbarhed i QNAP NAS-software giver angribere fuld systemkontrol via kommandoindsprøjtning.

CVSS Score
7.2
Offentliggjort
10/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24-48 timer

Hvad er det?

En kommandoindsprøjtningsfejl (en type sårbarhed hvor en angriber kan sende skjulte systemkommandoer til en enhed) er fundet i QNAP’s styresystemer QTS og QuTS hero. Fejlen betyder, at en angriber, der har skaffet sig administratoradgang til din QNAP NAS (en netværkstilsluttet lagerenhed), kan køre vilkårlige kommandoer direkte på enheden. Det svarer til, at en ubuden gæst får adgang til computerens kontrolpanel og kan gøre præcis, hvad de vil. QNAP har udgivet opdateringer, der lukker hullet.

Hvem rammer det?

Sårbarheden rammer virksomheder og enkeltpersoner, der bruger QNAP NAS-enheder med følgende software:

  • QTS version 5.2.0.2737 op til (men ikke inkl.) 5.2.9.3492
  • QuTS hero version h5.0.0 op til (men ikke inkl.) h5.2.9.3499

Bruger din virksomhed en QNAP NAS til fillagring, backup eller deling af filer internt eller eksternt, bør du tjekke din softwareversion med det samme.

Hvad kan ske?

Hvis en angriber udnytter sårbarheden, kan de:

  • Læse og stjæle alle data på NAS-enheden — herunder kontrakter, kundeoplysninger og regnskaber
  • Slette eller kryptere filer, fx som led i et ransomware-angreb (afpresningssoftware)
  • Installere bagdøre (skjulte adgangsveje) og bruge enheden som springbræt til resten af jeres netværk
  • Gøre enheden utilgængelig, hvilket kan lamme driften

Alle tre klassiske sikkerhedsmål er påvirket: fortrolighed, integritet og tilgængelighed.

Hvor alvorligt er det?

Sårbarheden er vurderet til 7.2 ud af 10 (Alvorlig) på den internationale CVSS-skala. Angrebet kan udføres over nettet uden fysisk adgang, og det kræver ingen interaktion fra dig som bruger. Den eneste begrænsning er, at angriberen først skal have skaffet sig administratoradgang — men da QNAP-enheder historisk set har været mål for credential-stuffing-angreb (angreb hvor kendte brugernavn/adgangskode-kombinationer afprøves automatisk) og phishing, er dette ikke en høj barriere. Konsekvenserne ved et vellykket angreb er fulde: total kontrol over enheden.

Hvad gør jeg nu?

Opdater din QNAP NAS hurtigst muligt. Sådan gør du:

  1. Log ind på din QNAP NAS via webbrowseren (typisk via enhedens IP-adresse på dit netværk).
  2. Gå til Kontrolpanel → System → Firmwareopdatering og tjek, hvilken version du kører.
  3. Opdater til minimum: QTS 5.2.9.3492 build 20260507 eller QuTS hero h5.2.9.3499 build 20260514.
  4. Genstart enheden efter opdateringen, og bekræft at den nye version er aktiv.
  5. Gennemgå administratorkonti: Slet ukendte konti, skift adgangskoder og aktiver to-faktor-godkendelse (2FA) hvis muligt.
  6. Begræns ekstern adgang: Hvis din NAS er tilgængelig fra internettet, overvej at placere den bag en VPN, så den ikke er direkte eksponeret.
Tidsfrist

Opdater inden for 24-48 timer

Sådan ser Auroa det

QNAP NAS-enheder er et velkendt mål for cyberkriminelle, og kommandoindsprøjtningsfejl i denne kategori udnyttes typisk hurtigt efter offentliggørelse. Vi anbefaler, at du opdaterer din enhed inden for de næste 24-48 timer. Har du ikke ressourcerne til at gøre det selv, så kontakt din IT-leverandør i dag. Sørg desuden for, at din NAS ikke er direkte tilgængelig fra internettet uden VPN-beskyttelse.

Tidslinje

07/05/2026
QNAP udgiver rettede versioner
QNAP frigiver QTS 5.2.9.3492 build 20260507 og QuTS hero h5.2.9.3499 build 20260514 som lukker sårbarheden.
10/06/2026
CVE offentliggjort i NVD
CVE-2026-24719 registreres officielt i National Vulnerability Database med en CVSS-score på 7.2 (Alvorlig), og sårbarhedens detaljer bliver offentligt tilgængelige.
10/06/2026
Øget angrebsrisiko efter offentliggørelse
Når tekniske detaljer om en sårbarhed offentliggøres, stiger risikoen for udnyttelse markant, da angribere aktivt scanner efter sårbare enheder. QNAP-enheder har historisk set været udsat for hurtige angrebsforsøg efter CVE-offentliggørelser.

Konkrete eksempler

Ransomware-angreb via kompromitteret NAS-admin-konto

En angriber bruger et automatiseret værktøj til at afprøve kendte brugernavn/adgangskode-kombinationer mod en QNAP NAS, der er tilgængelig fra internettet. Når de får adgang med administratorrettigheder, udnytter de kommandoindsprøjtningsfejlen til at installere krypteringssoftware. Virksomhedens filer — herunder regnskaber og kundedatabaser — krypteres, og der kræves løsesum for at gendanne dem.

Dataudtræk og industrispionage

En konkurrent eller ekstern aktør skaffer sig adgang til en QNAP NAS hos en produktionsvirksomhed via en phishing-mail, der afslører administratorens loginoplysninger. Via kommandoindsprøjtningsfejlen kopieres fortrolige tegninger, kontrakter og prislister lydløst til en ekstern server. Virksomheden opdager det ikke, før skaden er sket.

NAS som springbræt ind i virksomhedens netværk

En angriber udnytter fejlen til at installere en bagdør på NAS-enheden og bruger den efterfølgende som et udgangspunkt for at kortlægge og angribe andre systemer på virksomhedens interne netværk — fx filservere, regnskabssystemer eller Active Directory (brugerstyringssystemet). Det gør et relativt afgrænset angreb til et fuldt netværkskompromis.

Ofte stillede spørgsmål

Ramte produkter

Qnap — Qts

≥ 5.2.0.2737, < 5.2.9.3492

Qnap — Quts Hero

≥ h5.0.0, < h5.2.9.3499

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
HIGH
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-78

Original NVD-beskrivelse (engelsk)

A command injection vulnerability has been reported to affect several QNAP operating system versions. If a remote attacker gains an administrator account, they can then exploit the vulnerability to execute arbitrary commands.

We have already fixed the vulnerability in the following versions:
QTS 5.2.9.3492 build 20260507 and later
QuTS hero h5.2.9.3499 build 20260514 and later

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.2
Visning
Hurtige fakta
CVE-ID
CVE-2026-24719
Offentliggjort
10/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.