CVE-2026-26236
Alvorlig

CVE-2026-26236: Sårbarhed i QNAP QuMagie

Sårbarhed i QNAP QuMagie giver angribere adgang til dine filer uden login – opdater til version 2.9.0 nu.

CVSS Score
7.5
Offentliggjort
09/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 48 timer

Hvad er det?

CVE-2026-26236 er en sikkerhedsfejl i QNAP’s fotostyringsprogram QuMagie, som kører på QNAP NAS-enheder (netværkstilsluttet lagerplads). Fejlen betyder, at programmet ikke tjekker ordentligt, om en bruger har lov til at se eller ændre data, før det giver adgang. Det kaldes en manglende autorisationskontrol. En angriber kan udnytte dette over internettet uden at kende et brugernavn eller en adgangskode – og uden at du som bruger behøver at gøre noget forkert. Resultatet er, at uvedkommende potentielt kan læse dine billeder og filer gemt i QuMagie.

Hvem rammer det?

Sårbarheden rammer dig, hvis du bruger en QNAP NAS-enhed med QuMagie installeret i en version ældre end 2.9.0 – og særligt hvis din enhed er tilgængelig fra internettet. Det er typisk:

  • Små og mellemstore virksomheder der bruger QNAP NAS til fildeling og backup
  • Virksomheder der har QuMagie aktiveret som billedarkiv eller mediebibliotek
  • Enheder der er eksponeret direkte mod internettet via port-forwarding eller uden VPN-beskyttelse

Har du slukket for adgang udefra eller ikke bruger QuMagie, er risikoen betydeligt lavere.

Hvad kan ske?

En angriber der udnytter fejlen kan:

  • Læse og hente filer og billeder gemt i QuMagie uden at logge ind
  • Tilgå fortrolige dokumenter eller personoplysninger der er arkiveret på enheden
  • Potentielt udføre uautoriserede handlinger i programmet, fx slette eller flytte indhold

Angrebet kræver ingen særlige tekniske færdigheder og kan udføres automatisk via internettet. Konsekvensen kan være et databrud (uautoriseret adgang til fortrolige oplysninger), som du kan have pligt til at indberette til Datatilsynet under GDPR.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 7.5 – Alvorlig. Den scorer højt fordi:

  • Angrebet kan udføres over nettet uden login og uden brugerinteraktion
  • Kompleksiteten er lav – det er relativt let at udnytte
  • Fortroligheden af dine data er i høj risiko

Til gengæld kan angriberen ikke direkte ændre eller slette data (integritet og tilgængelighed er ikke berørt ifølge CVSS-vurderingen), men adgangen til fortrolige oplysninger alene er alvorlig nok til at kræve hurtig handling. QNAP-enheder er historisk et hyppigt mål for angreb.

Hvad gør jeg nu?

Gør følgende så hurtigt som muligt – helst inden for de næste par dage:

  1. Opdater QuMagie til version 2.9.0 eller nyere. Log ind på din QNAP NAS, gå til App Center, find QuMagie og klik Opdater.
  2. Tjek om din NAS er tilgængelig fra internettet. Gå til QNAP’s kontrolpanel og se under ‘Netværk og filservice’. Deaktiver direkte internetadgang hvis det ikke er nødvendigt.
  3. Brug VPN i stedet for direkte adgang. Hvis du har brug for fjernadgang, bør det ske via en VPN-forbindelse frem for åbne porte mod internettet.
  4. Gennemgå adgangslogge. Tjek om der har været mistænkelig aktivitet i QuMagie. QNAP-logge findes under Kontrolpanel → Log-center.
  5. Vurder databrudspligt. Hvis du har grund til at tro, at uvedkommende har haft adgang til personoplysninger, skal du overveje om det skal indberettes til Datatilsynet inden for 72 timer.
Tidsfrist

Opdater inden for 48 timer

Sådan ser Auroa det

Opdater QuMagie til version 2.9.0 hurtigst muligt – det er den eneste effektive løsning. Sørg samtidig for, at din QNAP NAS ikke er direkte eksponeret mod internettet uden beskyttelse. Har du brug for fjernadgang, så brug en VPN. Kontakt os gerne, hvis du er usikker på om din enhed er sårbar eller har brug for hjælp til opdateringen.

Tidslinje

09/06/2026
CVE offentliggjort
QNAP og NVD offentliggør CVE-2026-26236. Sårbarheden beskrives som en manglende autorisationskontrol i QuMagie der kan udnyttes over nettet uden login.
09/06/2026
Patch frigivet
QNAP frigiver QuMagie version 2.9.0 som retter sårbarheden. Opdateringen er tilgængelig via App Center på alle berørte NAS-enheder.
09/06/2026
Proof-of-concept tilgængeligt
På baggrund af sårbarhedens lave kompleksitet og QNAP-enheders popularitet som mål vurderes det, at tekniske detaljer og proof-of-concept-kode hurtigt vil blive tilgængeligt i sikkerhedsmiljøet efter offentliggørelsen.
10/06/2026
Aktiv udnyttelse forventet
QNAP NAS-enheder er historisk hyppige mål for automatiserede angreb. Sårbarhedens lave adgangskrav gør det sandsynligt, at angribere hurtigt vil scanne efter sårbare enheder på internettet.

Konkrete eksempler

Automatiseret scanning og datatyveri

En angriber bruger et automatisk scanningsværktøj til at finde QNAP NAS-enheder på internettet der kører en sårbar version af QuMagie. Uden at logge ind sender angriberen en særligt udformet forespørgsel til QuMagie-API’et og får adgang til billeder og dokumenter gemt i applikationen – herunder potentielt fakturaer, medarbejderbilleder eller kundedata.

Målrettet angreb mod virksomhedsdata

En konkurrent eller kriminel aktør identificerer, at en specifik virksomheds QNAP NAS er tilgængelig fra internettet. Via sårbarheden i QuMagie tilgår angriberen virksomhedens arkiverede projektbilleder og interne dokumenter uden at efterlade spor i normale adgangslogge. Virksomheden opdager først bruddet uger senere ved en tilfældig gennemgang af logfiler.

GDPR-brud med indberetningspligt

En tandlægeklinik bruger QuMagie til at arkivere patientbilleder på deres QNAP NAS. En angriber udnytter sårbarheden og henter et antal patientbilleder. Klinikken er nu forpligtet til at indberette bruddet til Datatilsynet inden 72 timer og muligvis orientere de berørte patienter – med risiko for bøde og tab af omdømme til følge.

Ofte stillede spørgsmål

Ramte produkter

Qnap — Qumagie

< 2.9.0

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
NONE
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CWE-svaghedstyper

CWE-862

Original NVD-beskrivelse (engelsk)

A missing authorization vulnerability has been reported to affect QuMagie. The remote attackers can then exploit the vulnerability to access unauthorized data or perform unauthorized actions.

We have already fixed the vulnerability in the following version:
QuMagie 2.9.0 and later

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-26236
Offentliggjort
09/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.