CVE-2026-26236: Sårbarhed i QNAP QuMagie
Sårbarhed i QNAP QuMagie giver angribere adgang til dine filer uden login – opdater til version 2.9.0 nu.
Hvad er det?
CVE-2026-26236 er en sikkerhedsfejl i QNAP’s fotostyringsprogram QuMagie, som kører på QNAP NAS-enheder (netværkstilsluttet lagerplads). Fejlen betyder, at programmet ikke tjekker ordentligt, om en bruger har lov til at se eller ændre data, før det giver adgang. Det kaldes en manglende autorisationskontrol. En angriber kan udnytte dette over internettet uden at kende et brugernavn eller en adgangskode – og uden at du som bruger behøver at gøre noget forkert. Resultatet er, at uvedkommende potentielt kan læse dine billeder og filer gemt i QuMagie.
Hvem rammer det?
Sårbarheden rammer dig, hvis du bruger en QNAP NAS-enhed med QuMagie installeret i en version ældre end 2.9.0 – og særligt hvis din enhed er tilgængelig fra internettet. Det er typisk:
- Små og mellemstore virksomheder der bruger QNAP NAS til fildeling og backup
- Virksomheder der har QuMagie aktiveret som billedarkiv eller mediebibliotek
- Enheder der er eksponeret direkte mod internettet via port-forwarding eller uden VPN-beskyttelse
Har du slukket for adgang udefra eller ikke bruger QuMagie, er risikoen betydeligt lavere.
Hvad kan ske?
En angriber der udnytter fejlen kan:
- Læse og hente filer og billeder gemt i QuMagie uden at logge ind
- Tilgå fortrolige dokumenter eller personoplysninger der er arkiveret på enheden
- Potentielt udføre uautoriserede handlinger i programmet, fx slette eller flytte indhold
Angrebet kræver ingen særlige tekniske færdigheder og kan udføres automatisk via internettet. Konsekvensen kan være et databrud (uautoriseret adgang til fortrolige oplysninger), som du kan have pligt til at indberette til Datatilsynet under GDPR.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 7.5 – Alvorlig. Den scorer højt fordi:
- Angrebet kan udføres over nettet uden login og uden brugerinteraktion
- Kompleksiteten er lav – det er relativt let at udnytte
- Fortroligheden af dine data er i høj risiko
Til gengæld kan angriberen ikke direkte ændre eller slette data (integritet og tilgængelighed er ikke berørt ifølge CVSS-vurderingen), men adgangen til fortrolige oplysninger alene er alvorlig nok til at kræve hurtig handling. QNAP-enheder er historisk et hyppigt mål for angreb.
Hvad gør jeg nu?
Gør følgende så hurtigt som muligt – helst inden for de næste par dage:
- Opdater QuMagie til version 2.9.0 eller nyere. Log ind på din QNAP NAS, gå til App Center, find QuMagie og klik Opdater.
- Tjek om din NAS er tilgængelig fra internettet. Gå til QNAP’s kontrolpanel og se under ‘Netværk og filservice’. Deaktiver direkte internetadgang hvis det ikke er nødvendigt.
- Brug VPN i stedet for direkte adgang. Hvis du har brug for fjernadgang, bør det ske via en VPN-forbindelse frem for åbne porte mod internettet.
- Gennemgå adgangslogge. Tjek om der har været mistænkelig aktivitet i QuMagie. QNAP-logge findes under Kontrolpanel → Log-center.
- Vurder databrudspligt. Hvis du har grund til at tro, at uvedkommende har haft adgang til personoplysninger, skal du overveje om det skal indberettes til Datatilsynet inden for 72 timer.
Opdater inden for 48 timer
Opdater QuMagie til version 2.9.0 hurtigst muligt – det er den eneste effektive løsning. Sørg samtidig for, at din QNAP NAS ikke er direkte eksponeret mod internettet uden beskyttelse. Har du brug for fjernadgang, så brug en VPN. Kontakt os gerne, hvis du er usikker på om din enhed er sårbar eller har brug for hjælp til opdateringen.
Tidslinje
Konkrete eksempler
Automatiseret scanning og datatyveri
En angriber bruger et automatisk scanningsværktøj til at finde QNAP NAS-enheder på internettet der kører en sårbar version af QuMagie. Uden at logge ind sender angriberen en særligt udformet forespørgsel til QuMagie-API’et og får adgang til billeder og dokumenter gemt i applikationen – herunder potentielt fakturaer, medarbejderbilleder eller kundedata.
Målrettet angreb mod virksomhedsdata
En konkurrent eller kriminel aktør identificerer, at en specifik virksomheds QNAP NAS er tilgængelig fra internettet. Via sårbarheden i QuMagie tilgår angriberen virksomhedens arkiverede projektbilleder og interne dokumenter uden at efterlade spor i normale adgangslogge. Virksomheden opdager først bruddet uger senere ved en tilfældig gennemgang af logfiler.
GDPR-brud med indberetningspligt
En tandlægeklinik bruger QuMagie til at arkivere patientbilleder på deres QNAP NAS. En angriber udnytter sårbarheden og henter et antal patientbilleder. Klinikken er nu forpligtet til at indberette bruddet til Datatilsynet inden 72 timer og muligvis orientere de berørte patienter – med risiko for bøde og tab af omdømme til følge.
Ofte stillede spørgsmål
Hvordan ved jeg, om min QNAP-enhed er sårbar?
Log ind på din QNAP NAS og åbn App Center. Find QuMagie i listen over installerede apps og tjek versionsnummeret. Er det lavere end 2.9.0, er du sårbar og bør opdatere straks.
Skal min enhed være tilgængelig fra internettet for at blive angrebet?
Ja, risikoen er størst hvis din NAS er tilgængelig udefra – fx via en åben port eller QNAP’s myQNAPcloud-tjeneste. Er enheden kun tilgængelig på dit lokale netværk og ikke eksponeret mod internettet, er risikoen betydeligt lavere, men en opdatering anbefales alligevel.
Kan jeg midlertidigt beskytte mig uden at opdatere?
Ja, som midlertidig løsning kan du blokere ekstern adgang til din NAS ved at deaktivere port-forwarding og lukke for adgang via QNAP’s skytjenester. Det reducerer angrebsfladen, men erstatter ikke opdateringen til version 2.9.0.
Skal jeg indberette dette til Datatilsynet?
Kun hvis du har konkrete tegn på, at en angriber faktisk har tilgået personoplysninger på din enhed. Har du mistanke om det, skal du som udgangspunkt indberette det til Datatilsynet inden for 72 timer fra du bliver opmærksom på hændelsen – det er et krav under GDPR. Er du i tvivl, så kontakt din juridiske rådgiver eller os.
Er andre QNAP-apps også berørt?
Denne specifikke sårbarhed gælder kun QuMagie. QNAP udgiver løbende sikkerhedsopdateringer til mange af deres apps, så det er god praksis at holde alle apps og selve NAS-styresystemet (QTS/QuTS hero) opdateret.
Ramte produkter
Qnap — Qumagie
< 2.9.0
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
A missing authorization vulnerability has been reported to affect QuMagie. The remote attackers can then exploit the vulnerability to access unauthorized data or perform unauthorized actions.
We have already fixed the vulnerability in the following version:
QuMagie 2.9.0 and later
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
