-
威联通科技(QNAP Systems)披露,其老旧款 VioStor 网络视频录像机(NVR)固件中存在一个高危安全漏洞。该漏洞可能使远程攻击者完全绕过认证机制,获取未授权的系统访问权限。
此漏洞影响运行于老旧款 VioStor NVR 设备上的 QVR 固件 5.1.x 版本。
- 两个漏洞导致威联通 VioStor NVR 系统面临远程认证绕过与未授权文件访问风险;
- 需升级至 QVR 固件 5.1.6 版本(编译版本号 20250621);
- 攻击者可能完全攻陷系统,导致监控数据与控制权限泄露。
CVE-2025-52856 是本安全公告中风险最高的漏洞,归类为 “不当认证漏洞”,对系统安全具有重大影响。
该漏洞允许远程攻击者彻底绕过正常的认证流程,直接规避 QVR 固件中设置的登录凭证、多因素认证及其他安全控制措施。
漏洞作用于应用层 —— 由于认证逻辑存在缺陷或缺失必要的验证检查,攻击者无需提供有效的用户凭证即可获得未授权访问权限。
这种不当的认证机制为攻击者提供了直接获取系统初始访问权限的途径,危险性极高,可作为后续进一步渗透攻击的入口。
远程攻击者可通过网络连接 VioStor NVR 设备,利用该漏洞获取管理员权限,进而访问敏感的监控数据、配置设置及系统控制功能,且无需掌握任何合法用户账户信息。
CVE-2025-52861 是一个路径遍历漏洞(又称目录遍历攻击漏洞),攻击者需先通过上述认证绕过漏洞获得管理员权限,方可利用该漏洞发起攻击。
该漏洞允许恶意攻击者通过操控文件路径参数(通常使用 “../” 这类序列)突破受限目录边界,访问父目录及敏感系统文件。
成功利用此路径遍历漏洞后,攻击者可读取超出其预期访问范围的任意文件,包括含有敏感系统参数的配置文件、用户凭证数据库、加密密钥及其他关键系统数据。
威联通已在 QVR 固件 5.1.6 版本(编译版本号 20250621)及后续版本中修复了这两个漏洞。
该公司强烈建议,所有运行老旧款 VioStor NVR 系统且使用 QVR 5.1.x 固件的用户,立即升级至修复版本,以降低安全风险。
升级流程需通过 VioStor NVR 的 Web 管理界面操作:管理员需登录后导航至 “控制面板(Control Panel)> 系统设置(System Settings)> 固件更新(Firmware Update)”,上传并安装最新固件文件。
这两个漏洞由 360 安全团队的安全研究员侯浏阳发现并上报,凸显了 “协同漏洞披露” 机制在发现和修复高危安全漏洞中的重要作用。
网络管理员应优先处理此次固件升级 —— 认证绕过与路径遍历漏洞的组合形成了极高风险场景:攻击者可能完全控制受影响的 NVR 系统,进而破坏视频监控基础设施,访问已录制的监控录像或实时摄像头画面。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
