CVE-2025-66279
Alvorlig

CVE-2025-66279: Kritisk fejl i QNAP QTS og QuTS hero

Sikkerhedshul i QNAP’s styresystem giver angribere med admin-adgang fuld kontrol over din NAS-enhed.

CVSS Score
7.2
Offentliggjort
10/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 7 dage

Hvad er det?

CVE-2025-66279 er en såkaldt kommandoindsprøjtningsfejl (command injection) i QNAP’s styresystemer QTS og QuTS hero. Det betyder, at en angriber kan sende skjulte systemkommandoer til din QNAP NAS-enhed (en netværkstilsluttet lagerenhed) og få den til at udføre dem uden din viden. Fejlen kræver, at angriberen allerede har eller har skaffet sig en administratorkonto på enheden — men når den adgang er opnået, er der ingen begrænsninger på, hvad de kan gøre.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger QNAP NAS-enheder med følgende styresystemer:

  • QTS version 5.2.0.2737 op til (men ikke inkl.) 5.2.9.3410
  • QuTS hero h5.2.0.2737 op til h5.2.9.3410
  • QuTS hero h5.3.0.3115 op til h5.3.4.3500
  • QuTS hero h6.0.0.3324 op til h6.0.0.3397

QNAP NAS bruges typisk til fildeling, sikkerhedskopiering og lagring af vigtige forretningsdata. Mange SMV’er bruger disse enheder som central lagerløsning.

Hvad kan ske?

Hvis en angriber udnytter sårbarheden, kan de:

  • Læse og kopiere alle filer på din NAS — herunder kundedata, regnskaber og fortrolige dokumenter
  • Slette eller kryptere data, f.eks. som led i et ransomware-angreb
  • Installere bagdøre (skjult adgang) så de kan vende tilbage senere
  • Bruge enheden som springbræt til at angribe andre systemer på dit netværk

Det fulde CIA-impact er højt på alle tre parametre: fortrolighed, integritet og tilgængelighed af dine data kan alle kompromitteres.

Hvor alvorligt er det?

Sårbarheden er vurderet til 7.2 ud af 10 (Alvorlig) på CVSS-skalaen. Det kræver, at angriberen har administratoradgang — hvilket sænker risikoen lidt — men QNAP-enheder har historisk set været mål for angreb, hvor netop adminkonti kompromitteres via svage adgangskoder, genbrug af kodeord eller tidligere lækkede legitimationsoplysninger. Når den adgang er opnået, er angrebet enkelt at udføre og kræver ingen videre teknisk interaktion fra din side.

Hvad gør jeg nu?

Opdater dit QNAP-styresystem hurtigst muligt. Følg disse trin:

  1. Log ind på din QNAP NAS via browsergrænsefladen (typisk via IP-adressen på dit netværk).
  2. Gå til Kontrolpanel → System → Firmwareopdatering og tjek efter tilgængelige opdateringer.
  3. Installer den nyeste version: QTS 5.2.9.3410 (build 20260214) eller nyere, QuTS hero h5.2.9.3410, h5.3.4.3500 eller h6.0.0.3397 og nyere.
  4. Gennemgå administratorkonti: Fjern ukendte konti, skift alle adgangskoder til stærke og unikke passwords.
  5. Deaktiver ekstern adgang (f.eks. via port 8080 eller UPnP) hvis det ikke er strengt nødvendigt, indtil opdateringen er installeret.
  6. Aktivér to-faktor-godkendelse (2FA) på alle administratorkonti for at beskytte mod fremtidige angreb.
Tidsfrist

Opdater inden for 7 dage

Sådan ser Auroa det

QNAP NAS-enheder er et velkendt mål for angribere, og kommandoindsprøjtningsfejl som denne er et af de mest effektive angrebsredskaber. Vi anbefaler, at du opdaterer din firmware straks og gennemgår alle administratorkonti på enheden. Overvej desuden at flytte NAS-adgang bag en VPN, så enheden ikke er direkte tilgængelig fra internettet — det reducerer angrebsoverfladen markant.

Tidslinje

06/02/2026
Første patch udgivet
QNAP udgiver QuTS hero h6.0.0.3397 (build 20260206), der lukker sårbarheden for h6.0-serien.
14/02/2026
Patch til QTS og QuTS hero h5.2
QNAP udgiver QTS 5.2.9.3410 og QuTS hero h5.2.9.3410 (build 20260214), der retter fejlen i de to mest udbredte versioner.
20/05/2026
Patch til QuTS hero h5.3
QNAP udgiver QuTS hero h5.3.4.3500 (build 20260520), der lukker sårbarheden i h5.3-serien.
10/06/2026
CVE offentliggjort
Sårbarheden registreres officielt i NVD-databasen som CVE-2025-66279 med en CVSS-score på 7.2 (Alvorlig).

Konkrete eksempler

Angreb via genbrug af adgangskode

En angriber finder en lækket adgangskode fra en tidligere databreach (f.eks. fra et gammelt forum) og prøver den på din QNAP’s admin-konto. Fordi mange bruger de samme kodeord flere steder, lykkes det. Angriberen bruger derefter CVE-2025-66279 til at køre egne kommandoer på enheden og installerer ransomware, der krypterer alle virksomhedens filer natten over.

Adgang via kompromitteret intern computer

En medarbejders computer inficeres med malware via en phishing-mail. Malwaren kortlægger det interne netværk og finder NAS-enheden. Den prøver standardadgangskoder som ‘admin/admin’ og får adgang. Via kommandoindsprøjtningsfejlen kopieres alle virksomhedens fortrolige filer stille og roligt til en ekstern server — uden nogen alarmer udløses.

Udnyttelse via internet-eksponeret NAS

En virksomhed har åbnet port 8080 på deres router, så medarbejdere kan tilgå NAS’en hjemmefra. En angriber scanner internettet for QNAP-enheder og finder denne. Via et brute force-angreb (systematisk gætning af adgangskoder) opnås administratoradgang, hvorefter CVE-2025-66279 udnyttes til at etablere en permanent bagdør på enheden.

Ofte stillede spørgsmål

Ramte produkter

Qnap — Qts

≥ 5.2.0.2737, < 5.2.9.3410

Qnap — Quts Hero

≥ h5.2.0.2737, < h5.2.9.3410

Qnap — Quts Hero

≥ h5.3.0.3115, < h5.3.4.3500

Qnap — Quts Hero

≥ h6.0.0.3324, < h6.0.0.3397

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
HIGH
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-78

Original NVD-beskrivelse (engelsk)

A command injection vulnerability has been reported to affect several QNAP operating system versions. If a remote attacker gains an administrator account, they can then exploit the vulnerability to execute arbitrary commands.

We have already fixed the vulnerability in the following versions:
QTS 5.2.9.3410 build 20260214 and later
QuTS hero h5.2.9.3410 build 20260214 and later
QuTS hero h5.3.4.3500 build 20260520 and later
QuTS hero h6.0.0.3397 build 20260206 and later

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.2
Visning
Hurtige fakta
CVE-ID
CVE-2025-66279
Offentliggjort
10/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.