CVE-2025-66273
Alvorlig

CVE-2025-66273: Kritisk sårbarhed i QNAP NAS

Kritisk sårbarhed i QNAP NAS-enheder giver angribere med admin-adgang fuld kontrol via skjulte kommandoer.

CVSS Score
7.2
Offentliggjort
10/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

CVE-2025-66273 er en såkaldt command injection-sårbarhed (fejl der lader en angriber sende skjulte systemkommandoer) i QNAP’s styresystemer QTS og QuTS hero. Fejlen betyder, at en angriber der allerede har skaffet sig administratoradgang til din QNAP-enhed, kan køre vilkårlige kommandoer direkte på enheden — uden yderligere godkendelse. QNAP har udgivet opdateringer der lukker hullet, og du bør installere dem hurtigst muligt.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer der bruger QNAP NAS-enheder (netværkstilknyttede lagerenheder) med følgende styresystemer:

  • QTS version 5.2.0.2737 op til (men ikke inkl.) 5.2.9.3410
  • QuTS hero version h5.2.0.2737 op til h5.2.9.3410
  • QuTS hero version h5.3.0.3115 op til h5.3.4.3500
  • QuTS hero version h6.0.0.3324 op til h6.0.0.3397

Har din QNAP-enhed en af disse versioner og er tilgængelig fra internettet, er du i særlig risiko.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan konsekvenserne være alvorlige:

  • Datatyveri: Alle filer på NAS-enheden kan kopieres og sendes ud af virksomheden.
  • Ransomware: Angriberen kan kryptere samtlige lagrede filer og kræve løsesum.
  • Systemovertagelse: Enheden kan misbruges som springbræt til resten af dit netværk.
  • Datatab: Filer kan slettes eller ødelægges permanent.

Bemærk at angriberen først skal have skaffet sig administratoradgang — men QNAP-enheder er hyppige mål for angreb der netop sigter mod at kapre admin-konti.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 7.2 (Alvorlig) ud af 10. Angrebet kan gennemføres over netværket uden fysisk adgang, og kræver ingen interaktion fra dig som bruger. Den eneste begrænsning er, at angriberen først skal have fat i en administratorkonto. Konsekvenserne for fortrolighed, integritet og tilgængelighed er alle vurderet til høje — det vil sige at alt data kan kompromitteres og enheden kan sættes ud af drift.

Hvad gør jeg nu?

Følg disse trin for at beskytte din QNAP-enhed hurtigst muligt:

  1. Find din version: Log ind på din QNAP’s administrationsgrænseflade og tjek under Kontrolpanel → System → Firmwareopdatering hvilken version du kører.
  2. Opdater straks: Installer den nyeste firmware — QTS 5.2.9.3410 (build 20260214) eller nyere, eller den relevante QuTS hero-version til din enhed.
  3. Tjek administratorkonti: Gennemgå listen over brugerkonti og fjern ukendte eller unødvendige administratorkonti.
  4. Skift adgangskoder: Skift adgangskoden på alle administratorkonti til stærke, unikke kodeord.
  5. Begræns internetadgang: Overvej om din QNAP-enhed overhovedet skal være tilgængelig direkte fra internettet — brug i stedet VPN hvis fjernadgang er nødvendig.
  6. Aktiver to-faktor-godkendelse: Slå to-faktor-godkendelse (ekstra bekræftelsestrin ved login) til på alle administratorkonti.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

QNAP NAS-enheder er et velkendt mål for angribere, og command injection-sårbarheder som denne er særligt farlige fordi de giver fuld kontrol over enheden. Vi anbefaler, at du opdaterer din firmware i løbet af denne uge og gennemgår dine administratorkonti og adgangskoder. Er din NAS tilgængelig direkte fra internettet, bør du overveje at lukke for den direkte adgang og i stedet bruge VPN — det reducerer din angrebsflade markant og beskytter dig mod fremtidige sårbarheder.

Tidslinje

06/02/2026
Første patches udgivet af QNAP
QNAP udgiver QuTS hero h6.0.0.3397 build 20260206, som lukker sårbarheden for h6.0.0-serien.
14/02/2026
Yderligere patches til QTS og QuTS hero
QNAP frigiver QTS 5.2.9.3410 og QuTS hero h5.2.9.3410 (build 20260214), der dækker de mest udbredte versioner.
20/05/2026
Patch til QuTS hero h5.3-serien
QNAP udgiver QuTS hero h5.3.4.3500 build 20260520, der lukker hullet i h5.3-serien. Nu er alle berørte versioner patchet.
10/06/2026
CVE offentliggjort i NVD
Sårbarheden CVE-2025-66273 registreres officielt i National Vulnerability Database (NVD) og bliver offentligt kendt.

Konkrete eksempler

Ransomware via kompromitteret admin-konto

En angriber gætter eller stjæler adgangskoden til administrator-kontoen på en QNAP NAS, der er eksponeret direkte mod internettet. Via command injection-sårbarheden installerer angriberen ransomware, der krypterer alle virksomhedens backup-filer. Virksomheden modtager herefter et krav om løsesum for at gendanne adgangen til sine data.

Dataeksfiltrering af følsomme filer

En angriber opnår administratoradgang til en QNAP-enhed hos en SMV og udnytter command injection til at køre et script, der automatisk kopierer og sender alle dokumenter, regnskaber og kundeoplysninger til en ekstern server. Virksomheden opdager først bruddet uger senere ved en tilfældighed.

NAS som springbræt ind i virksomhedsnetværket

Efter at have overtaget QNAP-enheden via sårbarheden bruger angriberen den som base for at scanne og angribe andre enheder på virksomhedens interne netværk — herunder computere, printere og servere. Fordi NAS-enheden befinder sig inden for netværket, omgår angriberen de fleste ydre sikkerhedsforanstaltninger.

Ofte stillede spørgsmål

Ramte produkter

Qnap — Qts

≥ 5.2.0.2737, < 5.2.9.3410

Qnap — Quts Hero

≥ h5.2.0.2737, < h5.2.9.3410

Qnap — Quts Hero

≥ h5.3.0.3115, < h5.3.4.3500

Qnap — Quts Hero

≥ h6.0.0.3324, < h6.0.0.3397

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
HIGH
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-78

Original NVD-beskrivelse (engelsk)

A command injection vulnerability has been reported to affect several QNAP operating system versions. If a remote attacker gains an administrator account, they can then exploit the vulnerability to execute arbitrary commands.

We have already fixed the vulnerability in the following versions:
QTS 5.2.9.3410 build 20260214 and later
QuTS hero h5.2.9.3410 build 20260214 and later
QuTS hero h5.3.4.3500 build 20260520 and later
QuTS hero h6.0.0.3397 build 20260206 and later

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.2
Visning
Hurtige fakta
CVE-ID
CVE-2025-66273
Offentliggjort
10/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.