CVE-2026-24724
Alvorlig

CVE-2026-24724: Sårbarhed i QNAP File Station

Sikkerhedshul i QNAP File Station lader angribere med en alm. brugerkonto tilgå og ændre filer uden tilladelse.

CVSS Score
8.1
Offentliggjort
10/06/2026
Patch-status
available
Exploit
theoretical
Tidsfrist
Opdater inden for 7 dage

Hvad er det?

CVE-2026-24724 er en sårbarhed i QNAP File Station, som er den filhåndteringsfunktion der følger med QNAP’s NAS-enheder (netværkstilsluttede lagringsdrev). Fejlen skyldes forkert adgangskontrol (CWE-863), hvilket betyder at softwaren ikke tjekker ordentligt, om en bruger faktisk har lov til at se eller ændre bestemte filer. En angriber, der blot har fået fat i én almindelig brugerkonto på systemet, kan udnytte fejlen til at omgå adgangsbegrænsninger og få adgang til data, han normalt ikke burde kunne se eller redigere. Problemet rammer versioner af File Station 5 fra 5.5.6.4691 op til, men ikke inkluderende, 5.5.6.5243.

Hvem rammer det?

Sårbarheden rammer dig, hvis din virksomhed bruger en QNAP NAS-enhed med File Station 5 i versionsintervallet 5.5.6.4691 til og med 5.5.6.5242, og enheden er tilgængelig via netværket — enten internt eller fra internettet. Det er særligt relevant for SMV’er der bruger QNAP-drev til fildeling, backup eller dokumentlagring. Har I flere brugerkonti på jeres QNAP — f.eks. til medarbejdere eller samarbejdspartnere — øges risikoen, fordi angriberen kun behøver adgang til én enkelt konto.

Hvad kan ske?

Hvis en angriber udnytter fejlen, kan vedkommende:

  • Læse fortrolige filer og dokumenter, som de ikke burde have adgang til — f.eks. regnskaber, kontrakter eller persondata
  • Ændre eller overskrive filer på tværs af mapper og brugerrettigheder
  • Potentielt bruge adgangen som springbræt til andre systemer på jeres netværk

Det kan betyde brud på GDPR-reglerne (persondataforordningen), tab af forretningshemmeligheder og skade på virksomhedens omdømme. Bemærk at selve tilgængeligheden af drevet (A=NONE) ikke påvirkes — angriberen kan altså ikke slukke for det, men kan til gengæld læse og manipulere data.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 8.1 ud af 10 (Alvorlig). Den høje score skyldes især:

  • Netværksbaseret angreb: Angriberen behøver ikke fysisk adgang — angrebet kan ske over internettet
  • Lav kompleksitet: Teknikken er ikke særligt svær at udføre
  • Lave krav til rettigheder: En helt almindelig brugerkonto er nok — ingen administratoradgang kræves
  • Høj fortroligheds- og integritetspåvirkning: Både læsning og ændring af data er mulig

Samlet set er dette en sårbarhed, der kræver hurtig handling, men som ikke udgør en øjeblikkelig katastrofe, så længe angribere ikke allerede har en konto på jeres QNAP.

Hvad gør jeg nu?

Opdater din QNAP File Station hurtigst muligt. Følg disse trin:

  1. Tjek din version: Log ind på din QNAP’s administrationspanel, gå til App Center og find File Station. Notér versionsnummeret.
  2. Opdater til version 5.5.6.5243 eller nyere: Klik på ‘Opdater’ i App Center, eller download opdateringen manuelt fra QNAP’s supportside.
  3. Genstart om nødvendigt: Følg vejledningen på skærmen. Visse opdateringer kræver genstart af NAS-enheden.
  4. Gennemgå brugerkonti: Slet eller deaktiver konti til tidligere medarbejdere og samarbejdspartnere, der ikke længere har brug for adgang.
  5. Begræns netværksadgang: Overvej om File Station skal være tilgængeligt direkte fra internettet, eller om det kan begrænses til jeres interne netværk eller VPN.
  6. Kontrollér adgangslogge: Tjek QNAP’s logfiler for usædvanlig aktivitet de seneste uger for at udelukke, at nogen allerede har udnyttet sårbarheden.
Tidsfrist

Opdater inden for 7 dage

Sådan ser Auroa det

Vi anbefaler, at du opdaterer File Station til version 5.5.6.5243 eller nyere så hurtigt som muligt — helst inden for den næste uge. Opdateringen er tilgængelig nu og løser problemet direkte. Sørg samtidig for at gennemgå, hvem der har brugerkonti på jeres QNAP, og fjern adgange der ikke længere er nødvendige — det begrænser angrebsfladen markant. Har I behov for hjælp til opdatering eller til at vurdere om I er blevet ramt, er du velkommen til at kontakte os.

Tidslinje

10/06/2026
CVE offentliggjort
QNAP offentliggjorde CVE-2026-24724 og udsendte en sikkerhedsbulletin om den fejlagtige adgangskontrol i File Station 5.
10/06/2026
Rettelse frigivet af QNAP
QNAP udgav File Station version 5.5.6.5243, som lukker sårbarheden. Opdateringen er tilgængelig via App Center på QNAP-enheden.
10/06/2026
Sårbarhed registreret i NVD
Den amerikanske nationale sårbarhedsdatabase (NVD) registrerede CVE'en med en CVSS-score på 8.1 (Alvorlig) og klassificerede den som et adgangskontrolproblem (CWE-863).
17/06/2026
Anbefalet opdateringsfrist
Auroa anbefaler, at alle berørte QNAP-brugere har installeret opdateringen senest denne dato for at minimere risikoen for udnyttelse.

Konkrete eksempler

Tidligere medarbejder tilgår fortrolige filer

En tidligere medarbejders brugerkonto på virksomhedens QNAP-drev er ikke blevet slettet efter fratrædelsen. Den tidligere medarbejder logger ind med sine gamle loginoplysninger og udnytter sårbarheden til at tilgå mapper med kontrakter og lønsedler, som vedkommende aldrig har haft adgang til. Virksomheden opdager det ikke, fordi adgangen tilsyneladende sker via en legitim konto.

Phishing-angreb åbner døren til NAS-drevet

En medarbejder modtager en phishing-mail og afgiver sine QNAP-loginoplysninger på en falsk side. Angriberen bruger disse oplysninger til at logge ind på virksomhedens QNAP-enhed og udnytter derefter CVE-2026-24724 til at gennemse og kopiere filer på tværs af alle afdelingsmapper — herunder kundelister og budgetdokumenter — selv om medarbejderens konto normalt kun har adgang til én afdeling.

Manipulation af delte projektfiler

En ekstern samarbejdspartner med en gæstekonto på virksomhedens QNAP udnytter sårbarheden til at overskrive vigtige projektfiler i mapper, vedkommende ikke burde have skriveadgang til. Da filerne ændres lydløst, opdages sabotagen først uger senere, hvilket medfører forsinkelser og ekstraomkostninger i et igangværende projekt.

Ofte stillede spørgsmål

Ramte produkter

Qnap — File Station

≥ 5.5.6.4691, < 5.5.6.5243

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

CWE-svaghedstyper

CWE-863

Original NVD-beskrivelse (engelsk)

An incorrect authorization vulnerability has been reported to affect File Station 6. If a remote attacker gains a user account, they can then exploit the vulnerability to bypass intended access restrictions.

We have already fixed the vulnerability in the following version:
File Station 5 5.5.6.5243 and later

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-24724
Offentliggjort
10/06/2026
Sidst opdateret
17/06/2026
Exploit-status
theoretical
Patch-status
available
Tidsfrist
Opdater inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.