CVE-2025-62850
Alvorlig

CVE-2025-62850: QNAP QuTS hero sårbarhed – hvad du skal gøre

Sårbarhed i QNAP QuTS hero kan få din NAS til at crashe, hvis en angriber har fået fat i en administratorkonto.

CVSS Score
7.2
Offentliggjort
10/06/2026
Patch-status
available
Exploit
theoretical
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

CVE-2025-62850 er en sårbarhed af typen NULL pointer dereference (et programmeringsfejl, hvor softwaren forsøger at tilgå en hukommelsesadresse, der ikke eksisterer, og derfor går ned) i QNAP’s styresystem QuTS hero. Fejlen betyder, at en angriber med adgang til en administratorkonto kan sende et særligt udformet netværkskald, der får systemet til at crashe og holde op med at svare. QNAP har udgivet rettede versioner og anbefaler, at du opdaterer snarest.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger QNAP NAS-enheder (netværkstilsluttede lagerenheder) med styresystemet QuTS hero i følgende versioner:

  • h5.2.0.2737 op til (men ikke inklusiv) h5.2.9.3410
  • h5.3.0.3115 op til (men ikke inklusiv) h5.3.4.3500
  • h6.0.0.3324 op til (men ikke inklusiv) h6.0.0.3459

Er din NAS tilgængelig fra internettet og kører en af disse versioner, er du i risikogruppen — særligt hvis administratorkontoen er kompromitteret eller bruger svage adgangskoder.

Hvad kan ske?

Hvis en angriber allerede har fået adgang til en administratorkonto på din NAS, kan vedkommende udnytte denne sårbarhed til at iværksætte et DoS-angreb (Denial-of-Service — et angreb, der gør en enhed eller tjeneste utilgængelig). Det betyder:

  • Din NAS crasher og holder op med at svare, hvilket afbryder adgangen til filer, sikkerhedskopier og andre tjenester der er hostet på enheden.
  • Driftsstop for medarbejdere der er afhængige af lageret i hverdagen.
  • Tab af adgang til sikkerhedskopier i en kritisk situation, f.eks. under et ransomware-angreb.

Bemærk: Sårbarheden i sig selv giver ikke angriberen adgang til dine data — den kræver, at en administratorkonto allerede er kompromitteret.

Hvor alvorligt er det?

Sårbarheden har en CVSS-score på 7.2 ud af 10 (Alvorlig). Det kræver, at angriberen allerede besidder en administratorkonto, hvilket sænker risikoen lidt sammenlignet med fejl der kan udnyttes uden forudgående adgang. Til gengæld er netværksangrebet simpelt at gennemføre (lav kompleksitet), og det kræver ingen interaktion fra dig eller dine medarbejdere. Konsekvenserne er alvorlige: fuld påvirkning på fortrolighed, integritet og tilgængelighed af systemet. For SMV’er der bruger NAS-enheden til daglig drift eller backup er et driftsstop særdeles kritisk.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed hurtigst muligt:

  1. Tjek din QuTS hero-version: Log ind på din QNAP NAS og gå til Kontrolpanel → System → Firmwareopdatering for at se den aktuelle version.
  2. Opdatér til en rettet version: Installer en af de følgende rettede versioner via QNAP’s opdateringsfunction eller fra QNAP’s hjemmeside: QuTS hero h5.2.9.3410 build 20260214 eller nyere, h5.3.4.3500 build 20260520 eller nyere, eller h6.0.0.3459 build 20260409 eller nyere.
  3. Gennemgå dine administratorkonti: Skift alle administratoradgangskoder til lange, unikke adgangskoder og aktivér to-faktor-godkendelse (2FA) hvis muligt.
  4. Begræns adgangen fra internettet: Overvej om din NAS behøver at være direkte tilgængelig fra internettet — brug i stedet en VPN-løsning for fjernforbindelser.
  5. Tjek logfiler for mistænkelig aktivitet: Gennemgå enhedens logfiler for ukendte login-forsøg eller usædvanlig aktivitet, der kan tyde på et tidligere kompromis.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Opdatér din QNAP QuTS hero til den seneste rettede version så hurtigt som muligt — patches er tilgængelige nu. Kombinér opdateringen med en gennemgang af alle administratorkonti og aktivering af to-faktor-godkendelse, da sårbarheden kræver kompromitterede admin-legitimationsoplysninger for at kunne udnyttes. Overvej desuden at begrænse din NAS’ eksponering mod internettet ved at bruge VPN i stedet for direkte fjernadgang — det reducerer angrebsfladen markant og beskytter mod fremtidige sårbarheder.

Tidslinje

14/02/2026
Første patch frigivet
QNAP udgiver QuTS hero h5.2.9.3410 build 20260214, der retter sårbarheden for h5.2-serien.
09/04/2026
Patch til h6.0-serien
QNAP udgiver QuTS hero h6.0.0.3459 build 20260409, der retter sårbarheden for h6.0-serien.
20/05/2026
Patch til h5.3-serien
QNAP udgiver QuTS hero h5.3.4.3500 build 20260520, der retter sårbarheden for h5.3-serien.
10/06/2026
CVE offentliggjort i NVD
CVE-2025-62850 offentliggøres i National Vulnerability Database med en CVSS-score på 7.2 (Alvorlig), og detaljer om de berørte versioner bliver offentligt tilgængelige.

Konkrete eksempler

Kompromitteret admin-konto bruges til at crashe NAS

En angriber skaffer sig adgang til en QNAP NAS-administrators konto via et phishing-angreb mod en medarbejder. Med den stjålne adgangskode logger angriberen ind på NAS-enheden og sender et særligt udformet netværkskald, der udløser NULL pointer-fejlen. NAS-enheden crasher, og virksomheden mister adgang til alle lagrede filer og sikkerhedskopier i timerne det tager at genstarte og stabilisere systemet.

Sabotage under ransomware-angreb

Under et igangværende ransomware-angreb mod virksomhedens netværk identificerer angriberne en NAS med QuTS hero eksponeret mod internettet. De har allerede stjålet administratorlegitimationsoplysninger fra en kompromitteret pc. De udnytter CVE-2025-62850 til at crashe NAS-enheden præcis i det øjeblik, virksomheden forsøger at gendanne data fra backup — og forlænger dermed nedetiden og presset på virksomheden markant.

Svagt standardkodeord udnyttes til DoS

En virksomhed har glemt at ændre standardadgangskoden på sin QNAP NAS, der er tilgængelig direkte via internettet. En angriber scanner nettet, finder enheden, logger ind med standardlegitimationsoplysningerne og crasher systemet gentagne gange ved at udnytte NULL pointer-fejlen. Virksomheden oplever gentagne mystiske nedbrud, der viser sig at være et målrettet DoS-angreb.

Ofte stillede spørgsmål

Ramte produkter

Qnap — Quts Hero

≥ h5.2.0.2737, < h5.2.9.3410

Qnap — Quts Hero

≥ h5.3.0.3115, < h5.3.4.3500

Qnap — Quts Hero

≥ h6.0.0.3324, < h6.0.0.3459

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
HIGH
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-476

Original NVD-beskrivelse (engelsk)

A NULL pointer dereference vulnerability has been reported to affect several QNAP operating system versions. If a remote attacker gains an administrator account, they can then exploit the vulnerability to launch a denial-of-service (DoS) attack.

We have already fixed the vulnerability in the following versions:
QuTS hero h5.2.9.3410 build 20260214 and later
QuTS hero h5.3.4.3500 build 20260520 and later
QuTS hero h6.0.0.3459 build 20260409 and later

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.2
Visning
Hurtige fakta
CVE-ID
CVE-2025-62850
Offentliggjort
10/06/2026
Sidst opdateret
17/06/2026
Exploit-status
theoretical
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.