CVE-2026-44083
Kritisk

CVE-2026-44083: Kritisk sårbarhed i QNAP QuMagie

Kritisk sårbarhed i QNAP QuMagie giver hackere fuld adgang uden login – opdater straks til version 2.9.1.

CVSS Score
9.8
Offentliggjort
09/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24-48 timer

Hvad er det?

QNAP QuMagie er et fotoorganiseringsprogram til QNAP’s NAS-enheder (netværkslagerenheder). En sårbarhed af typen authorization bypass through user-controlled key er opdaget i versioner ældre end 2.9.1. Det betyder, at en angriber kan manipulere en nøgle (en slags identifikationskode), som systemet bruger til at afgøre, hvem der har adgang til hvad. Angriberen kan dermed narre systemet til at tro, at vedkommende har rettigheder, som de ikke er tildelt. Angrebet kan udføres over internettet, uden forudgående adgang og uden at du eller dine medarbejdere behøver klikke på noget.

Hvem rammer det?

Sårbarheden rammer alle virksomheder og privatpersoner, der bruger en QNAP NAS-enhed med QuMagie installeret i en version ældre end 2.9.1. Hvis din NAS er tilgængelig fra internettet – fx via QNAP’s myQNAPcloud-tjeneste eller ved at have åbne porte i din router – er risikoen særligt høj. Mange SMV’er bruger QNAP NAS til fildeling, backup og foto-/videoarkivering, og er derfor i risikogruppen.

Hvad kan ske?

En angriber, der udnytter sårbarheden, kan opnå uautoriserede rettigheder på din NAS-enhed. I praksis betyder det:

  • Adgang til og tyveri af alle filer og billeder gemt på enheden
  • Sletning eller kryptering af data (fx ransomware-angreb)
  • Ændring af indstillinger og oprettelse af bagdøre til fremtidigt misbrug
  • Brug af din NAS som springbræt til resten af dit netværk

Hvor alvorligt er det?

Sårbarheden er vurderet til 9.8 ud af 10 (Kritisk) af det internationale CVE-system. Det er den næsthøjeste mulige score. Den høje score skyldes, at angrebet kan udføres over netværket uden nogen form for forudgående adgang eller brugerinteraktion, og at det giver angriberen fuld kontrol over fortrolighed, integritet og tilgængelighed af data (den såkaldte CIA-triade). Angrebskompleksiteten er lav, hvilket betyder, at selv mindre erfarne angribere kan forsøge det.

Hvad gør jeg nu?

Du bør handle inden for de næste 24-48 timer. Følg disse trin:

  1. Find din QuMagie-version: Log ind på din QNAP NAS via webbrowseren, åbn QuMagie og tjek versionsnummeret under indstillinger eller om-siden.
  2. Opdater til version 2.9.1 eller nyere: Gå til App Center på din QNAP NAS og installér den seneste opdatering af QuMagie. QNAP har udgivet en officiel rettelse.
  3. Begræns eksponering mod internettet: Hvis din NAS ikke behøver at være tilgængelig udefra, så deaktivér portweiterleitung (portvidereformidling) i din router og afbryd forbindelsen til myQNAPcloud midlertidigt.
  4. Tjek logfiler for mistænkelig aktivitet: Gennemgå adgangslogfiler på din NAS for ukendte brugere eller usædvanlige login-tidspunkter, særligt fra fremmede IP-adresser.
  5. Tag en backup: Sørg for, at en aktuel sikkerhedskopi af dine data er gemt et andet sted – helst offline eller i en separat sky-løsning.
Tidsfrist

Opdatér inden for 24-48 timer

Sådan ser Auroa det

QNAP NAS-enheder er et populært mål for angribere, og kritiske sårbarheder i disse systemer udnyttes erfaringsmæssigt hurtigt i praksis. Vi anbefaler, at du opdaterer QuMagie til version 2.9.1 eller nyere hurtigst muligt – helst i dag. Overvej desuden, om din NAS overhovedet behøver at være tilgængelig direkte fra internettet, eller om en VPN-løsning ville være mere sikker. Kontakt os, hvis du er i tvivl om din eksponering eller behøver hjælp til opdateringen.

Tidslinje

09/06/2026
CVE offentliggjort
CVE-2026-44083 offentliggøres i National Vulnerability Database (NVD) med en kritisk CVSS-score på 9.8. QNAP bekræfter sårbarheden og oplyser, at en rettelse er tilgængelig.
09/06/2026
Patch frigivet af QNAP
QNAP udgiver QuMagie version 2.9.1, som indeholder en rettelse af autorisationsfejlen. Opdateringen er tilgængelig via App Center på alle berørte NAS-enheder.
10/06/2026
Øget risiko for udnyttelse
Historisk set begynder angribere at scanne efter og forsøge at udnytte kritiske QNAP-sårbarheder inden for dage efter offentliggørelse. Alle ikke-opdaterede enheder eksponeret mod internettet bør betragtes som i høj risiko.

Konkrete eksempler

Direkte adgang til filer via manipuleret nøgle

En angriber scanner internettet for QNAP NAS-enheder med QuMagie aktiv. Ved at sende en HTTP-forespørgsel med en manipuleret bruger-ID-nøgle i parametrene kan angriberen narre systemet til at give adgang til en anden brugers fotoarkiv eller administrative funktioner – helt uden at kende adgangskoden. Dette kan ske automatiseret og i stor skala.

Ransomware-angreb via forhøjede rettigheder

Efter at have opnået uautoriserede administratorrettigheder via sårbarheden installerer angriberen ransomware direkte på NAS-enheden. Alle filer – herunder virksomhedens dokumenter, regnskaber og kundedata – krypteres, og der kræves løsesum for at få dem tilbage. QNAP-enheder har tidligere været mål for netop denne type angreb, bl.a. fra DeadBolt-ransomware-gruppen.

NAS som springbræt ind i virksomhedens netværk

En angriber udnytter QuMagie-sårbarheden til at opnå adgang til NAS-enheden og opretter en skjult administratorkonto. Derfra anvender angriberen enheden som et brohoved til at kortlægge og angribe andre enheder på det interne netværk – fx servere, arbejdsstationer eller regnskabssystemer – uden at det opdages med det samme.

Ofte stillede spørgsmål

Ramte produkter

Qnap — Qumagie

< 2.9.0

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-639

Original NVD-beskrivelse (engelsk)

An authorization bypass through user-controlled key vulnerability has been reported to affect QuMagie. The remote attackers can then exploit the vulnerability to gain unintended privileges.

We have already fixed the vulnerability in the following version:
QuMagie 2.9.1 and later

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-44083
Offentliggjort
09/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.