CVE-2026-26237
Alvorlig

CVE-2026-26237: Sikkerhedshul i QNAP QuMagie

Sikkerhedshul i QNAP QuMagie giver angribere adgang til dine private billeder uden login – opdater til version 2.9.0 nu.

CVSS Score
7.5
Offentliggjort
10/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24-48 timer

Hvad er det?

QuMagie er en billedstyringsapp til QNAP NAS-enheder (en NAS er en netværkstilsluttet harddisk, der bruges til at gemme og dele filer). En fejl i autorisationen (den mekanisme der tjekker, om du har lov til at se bestemte data) betyder, at en angriber udefra kan tilgå dine billeder og data uden at have et gyldigt login. Fejlen kræver ingen særlige tekniske færdigheder at udnytte, og angriberen behøver ikke at have adgang til din computer eller dit netværk i forvejen — det er nok at kunne nå din NAS via internettet.

Hvem rammer det?

Sårbarheden rammer dig, hvis du:

  • Bruger en QNAP NAS med QuMagie installeret i en version ældre end 2.9.0
  • Har din NAS tilgængelig fra internettet (f.eks. via QNAP’s myQNAPcloud-tjeneste eller ved at have åbnet porte i din router)

Mange SMV’er og privatpersoner bruger QNAP NAS til backup og fildeling — tjek derfor din version med det samme.

Hvad kan ske?

En angriber kan uden login:

  • Læse og downloade dine private eller fortrolige billeder og filer i QuMagie
  • Tilgå data, der ellers kræver autentifikation (brugernavn og adgangskode)
  • Potentielt udføre handlinger i appen, som du ikke har givet tilladelse til

Fortrolige billeder — f.eks. scannede dokumenter, ID-kort, kontrakter eller personfølsomme fotos — kan blive eksponeret, hvilket kan udgøre et brud på GDPR (databeskyttelsesreglerne).

Hvor alvorligt er det?

Sårbarheden er vurderet som alvorlig med en CVSS-score på 7.5 ud af 10. Angrebet kan udføres over internettet, kræver ingen forudgående adgang eller teknisk snilde, og det sker helt automatisk uden at du eller dine medarbejdere behøver at klikke på noget. Kun fortrolighed er truet — dine filer kan ikke slettes eller ændres via denne sårbarhed alene — men datalæk kan i sig selv have alvorlige konsekvenser for din virksomhed.

Hvad gør jeg nu?

Følg disse trin for at beskytte din QNAP NAS:

  1. Tjek din version: Log ind på din QNAP NAS, gå til App Center og find QuMagie. Notér versionsnummeret.
  2. Opdater til QuMagie 2.9.0 eller nyere: Klik på ‘Opdater’ i App Center. Opdateringen lukker sikkerhedshullet.
  3. Begræns adgang fra internettet: Overvej om din NAS overhovedet behøver at være tilgængelig direkte fra internettet. Brug evt. VPN i stedet.
  4. Tjek adgangsloggen: Gennemgå din NAS’s logfiler for mistænkelig aktivitet fra ukendte IP-adresser de seneste uger.
  5. Vurder GDPR-risiko: Hvis QuMagie indeholder billeder af personer eller personfølsomme dokumenter, og du ikke kan udelukke uautoriseret adgang, bør du kontakte din databeskyttelsesrådgiver.
Tidsfrist

Opdater inden for 24-48 timer

Sådan ser Auroa det

Opdater QuMagie til version 2.9.0 hurtigst muligt — QNAP har udsendt rettelsen, så opdateringen tager blot få minutter via App Center. Sørg desuden for at begrænse, hvilke enheder der kan nå din NAS fra internettet, og overvej at bruge en VPN-forbindelse i stedet for direkte adgang. Har du mistanke om, at uvedkommende allerede har tilgået dine data, bør du dokumentere hændelsen og vurdere, om der er pligt til at anmelde et brud til Datatilsynet inden for 72 timer.

Tidslinje

10/06/2026
CVE offentliggjort
QNAP offentliggjorde CVE-2026-26237 og beskrev sårbarheden i QuMagie. Samtidig blev det bekræftet, at en rettelse er tilgængelig i version 2.9.0.
10/06/2026
Patch frigivet af QNAP
QuMagie version 2.9.0 blev udgivet med en rettelse af autorisationsfejlen. Opdateringen er tilgængelig via QNAP App Center.
10/06/2026
Proof-of-concept potentielt tilgængeligt
Sårbarheder af denne type (manglende autorisationskontrol, lav kompleksitet) er generelt nemme at udnytte og kan hurtigt få opmærksomhed fra angribere efter offentliggørelse. Opdater hurtigst muligt.

Konkrete eksempler

Angriber scanner internettet for sårbare NAS-enheder

En angriber bruger automatiserede scanningsværktøjer til at finde QNAP NAS-enheder, der er tilgængelige på internettet og kører QuMagie i en sårbar version. Uden at logge ind sender angriberen en særligt udformet HTTP-forespørgsel direkte til QuMagies API og modtager dine billeder og metadata retur. Hele processen kan automatiseres og udføres i stor skala på kort tid.

Lækage af fortrolige virksomhedsdokumenter

En SMV bruger QuMagie til at gemme scannede kontrakter, fakturaer og billeder af medarbejdernes ID-kort. En angriber udnytter sårbarheden til at downloade disse filer uden adgangskode. Virksomheden opdager det ikke, før en forretningspartner gør opmærksom på, at fortrolige oplysninger cirkulerer på nettet — og nu er der pligt til at anmelde et GDPR-brud.

Målrettet angreb mod en konkret virksomhed

En konkurrent eller kriminel aktør ved, at en bestemt virksomhed bruger QNAP NAS. Via en simpel søgning på Shodan (et søgeværktøj der indekserer internetforbundne enheder) finder angriberen virksomhedens NAS og udnytter QuMagie-sårbarheden til at tilgå interne produktbilleder og dokumentation. Disse bruges til industrispionage eller videresalg.

Ofte stillede spørgsmål

Ramte produkter

Qnap — Qumagie

< 2.9.0

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
NONE
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CWE-svaghedstyper

CWE-359
CWE-862
CWE-862

Original NVD-beskrivelse (engelsk)

A missing authorization vulnerability has been reported to affect QuMagie. The remote attackers can then exploit the vulnerability to access unauthorized data or perform unauthorized actions.

We have already fixed the vulnerability in the following version:
QuMagie 2.9.0 and later

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-26237
Offentliggjort
10/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.