はじめに
NAS(ネットワークアタッチトストレージ)ソリューションを提供するQNAPは、同社のLicense Centerアプリケーションに複数のセキュリティ脆弱性が発見されたことを受け、セキュリティアドバイザリを公開しました。これらの脆弱性が未修正のまま放置されると、攻撃者によって機密情報の窃取、システムプロセスのクラッシュ、またはメモリの改ざんが行われる可能性があります。
2026年1月3日にリリースされたセキュリティアップデートは、License Centerバージョン2.0.xに影響を与える2つの問題を解決します。QNAPはこれらの脆弱性の全体的な深刻度を「中程度」と評価していますが、攻撃者がシステムへの初期アクセスに成功した場合、重大なリスクをもたらす可能性があります。
脆弱性の詳細
QNAPのアドバイザリ(QSA-25-52)は、メモリ管理エラーに起因する2つの特定の脆弱性を強調しています。
- CVE-2025-52871:境界外読み取り(Out-of-bounds read)
リモートの攻撃者が標準ユーザーアカウントへのアクセス権を得た場合、この脆弱性を悪用して、アクセス権のないデータを読み取ることができます。これにより、システムに保存されている秘密情報が暴露される可能性があります。 - CVE-2025-53597:バッファオーバーフロー(Buffer overflow)
この脆弱性はより深刻ですが、悪用にはより高い権限が必要です。攻撃者は管理者アカウントへのアクセス権が必要です。悪用が成功すると、攻撃者はメモリを改ざんしたりプロセスをクラッシュさせたりすることができ、結果としてサービス拒否(DoS)やシステム不安定化につながる可能性があります。
これらのCVEの概要は以下の通りです。
| CVE識別子 | 脆弱性の種類 | 深刻度 | 影響 |
|---|---|---|---|
| CVE-2025-52871 | 境界外読み取り | 中 | 認証されたユーザーが秘密情報を取得可能 |
| CVE-2025-53597 | バッファオーバーフロー | 中 | 管理者がメモリを改ざんしたりプロセスをクラッシュさせたりすることが可能 |
対処法と推奨事項
QNAPは、これらの問題をLicense Centerバージョン2.0.36以降で解決しています。同社は、License Center 2.0.xを実行しているすべてのユーザーに対し、データを安全に保つために直ちに最新バージョンへアップデートすることを強く推奨しています。
修正を適用するには、管理者はQTSまたはQuTS Heroにログインし、App Centerを開いて「License Center」を検索します。アップデートが利用可能な場合、「アップデート」ボタンが表示されます。このボタンをクリックすると、パッチが適用されたバージョンが自動的にダウンロードおよびインストールされます。
セキュリティ研究者への謝意
QNAPは、これらの脆弱性を報告し、広範囲に悪用される前にエコシステムを保護するのに貢献したセキュリティ研究者Coral氏に感謝の意を表しています。