CRITICAL✓ PATCH🇬🇧 English

CVE-2025-52425

SQL Injection w QNAP QuMagie umożliwiający zdalne wykonanie kodu

CVSS 9.5v4.0pub. 2025-11-07upd. 2025-11-14

W aplikacji QNAP QuMagie wykryto podatność typu SQL injection (CWE-89), która umożliwia zdalnemu atakującemu wykonanie nieautoryzowanego kodu lub poleceń bez uwierzytelnienia. Podatność uzyskała ocenę CVSS 9.5, co klasyfikuje ją jako krytyczną.

Pokaż oryginał (EN)

An SQL injection vulnerability has been reported to affect QuMagie. A remote attacker can exploit the vulnerability to execute unauthorized code or commands. We have already fixed the vulnerability in the following versions: QuMagie 2.7.0 and later

🤖 Analiza AI
Jak działa

Atakujący zdalnie, bez konieczności posiadania konta, może przesłać specjalnie spreparowane zapytanie zawierające złośliwy kod SQL. Aplikacja QuMagie nie waliduje prawidłowo danych wejściowych, co pozwala na wstrzyknięcie i wykonanie nieautoryzowanych poleceń po stronie serwera bazy danych. Wektor ataku nie wymaga interakcji po stronie użytkownika, jednak do skutecznego wykorzystania podatności mogą być wymagane pewne szczególne warunki (AT:P).

Skutki

Atakujący może wykonać nieautoryzowany kod lub polecenia na podatnym systemie, co potencjalnie prowadzi do przejęcia kontroli nad aplikacją, ujawnienia lub modyfikacji danych, a także naruszenia integralności i dostępności systemu oraz powiązanej infrastruktury.

Mitygacja

Należy zaktualizować QuMagie do wersji 2.7.0 lub nowszej. Szczegółowe informacje i patche dostępne są w oficjalnym biuletynie bezpieczeństwa QNAP: https://www.qnap.com/en/security-advisory/qsa-25-33

Kogo dotyczy

QNAP QuMagie w wersjach wcześniejszych niż 2.7.0

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Qnap Qumagie

    APP
    Qnap
    2.6.0 – 2.7.0 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-26237HIGH8.7ten sam produkt

A missing authorization vulnerability has been reported to affect QuMagie. The remote attackers can then explo...

CVE-2026-44083HIGH8.7ten sam produkt

An authorization bypass through user-controlled key vulnerability has been reported to affect QuMagie. The rem...

CVE-2026-26236HIGH8.7ten sam produkt

A missing authorization vulnerability has been reported to affect QuMagie. The remote attackers can then explo...

CVE-2025-58464HIGH7.8ten sam produkt

A relative path traversal vulnerability has been reported to affect QuMagie. If a remote attacker, they can th...

CVE-2023-47560HIGH7.4ten sam produkt

An OS command injection vulnerability has been reported to affect QuMagie. If exploited, the vulnerability cou...

CVE-2025-52425 — SQL Injection w QNAP QuMagie umożliwiający zdalne wykonanie kodu — CRITICAL 9.5 | CVEbaza.pl