Por Mid 
De cero a root: cómo dos vulnerabilidades críticas exponen los sistemas QNAP
Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Alta
Conclusiones clave
- Dos vulnerabilidades críticas (CVE-2025-52856 y CVE-2025-52861) afectan a la versión heredada de QVR en dispositivos QNAP.
- La primera permite eludir la autenticación, otorgando acceso no autorizado.
- La segunda facilita el acceso a archivos sensibles mediante técnicas de recorrido de ruta.
- Se recomienda actualizar a la versión 6.1.6 (20250621) o posterior para mitigar los riesgos.
- Es crucial que los administradores actúen rápidamente para proteger sus sistemas.
Índice
Examinando CVE-2025-52856
La primera vulnerabilidad se centra en un defecto dentro del sistema de autenticación del firmware QVR (VioStor). Este fallo permite que un atacante remoto eluda completamente el sistema de autenticación, otorgándole acceso sin necesidad de credenciales válidas ni protección adicional, como la autenticación multifactor. Este problema se presenta a nivel de aplicación, donde reside la debilidad en el mecanismo de autenticación.
Explorando CVE-2025-52861
En el segundo caso, la situación es diferente. Si un atacante logra obtener acceso a una cuenta con privilegios de administrador, podría utilizar esta vulnerabilidad para acceder a archivos e información del sistema para los cuales no tenía autorización. La explotación de este fallo, en su variante más simple, implica la manipulación de parámetros que incluyen rutas a archivos y directorios mediante técnicas como el tradicional «../». Si la aplicación se ve comprometida, los datos sensibles del sistema podrían ser accesibles. Es importante resaltar que la información a la que se podría acceder incluye credenciales y configuraciones del servidor, lo que podría llevar a un compromiso total de la infraestructura en la que opera el sistema afectado.
Versiones afectadas y pasos de mitigación
Como se mencionó anteriormente, las versiones bajo riesgo son aquellas de la rama 5.1.x de QVR. QNAP ha aconsejado a sus usuarios, mediante el mismo boletín de seguridad, que consideren actualizar su sistema a la versión 6.1.6 (20250621) o una posterior para garantizar la protección ante estas vulnerabilidades. A continuación, se detallan los pasos sugeridos para realizar esta actualización:
- Iniciar sesión en VioStor NVR con privilegios de administrador.
- Dirigirse al panel de control -> Configuración del sistema -> Actualización del firmware.
- Seleccionar la pestaña «Actualización de firmware».
- Hacer clic en «Explorar…» (puede variar según el idioma) para cargar el archivo correspondiente a la versión actualizada.
- QNAP proporciona un enlace para asegurar la descarga de un firmware legítimo.
- Por último, hacer clic en «Actualizar sistema».
Es fundamental que todas aquellas personas que identifiquen que su infraestructura se ve afectada por estas vulnerabilidades efectúen la actualización a la versión no vulnerable a la mayor brevedad posible. Esto ayudará a mitigar los riesgos asociados a estas fallas de seguridad.