QNAP memperingatkan pelanggan untuk menambal kerentanan kritis ASP.NET Core yang juga berdampak pada NetBak PC Agent milik perusahaan, sebuah utilitas Windows untuk mencadangkan data ke perangkat penyimpanan terpasang jaringan (NAS) QNAP.
Dilacak sebagai CVE-2025-55315kelemahan bypass keamanan ini ditemukan di server web Kestrel ASP.NET Core dan memungkinkan penyerang dengan hak istimewa rendah untuk membajak kredensial pengguna lain atau melewati kontrol keamanan front-end melalui Penyelundupan permintaan HTTP.
“Agen PC NetBak menginstal dan bergantung pada komponen Microsoft ASP.NET Core selama pengaturan. Oleh karena itu, komputer yang menjalankan Agen PC NetBak mungkin berisi versi ASP.NET Core yang terpengaruh jika sistem belum diperbarui,” kata QNAP.
“QNAP sangat menyarankan pengguna memastikan sistem Windows mereka memiliki pembaruan Microsoft ASP.NET Core terbaru yang diinstal.”
Untuk mengamankan sistem mereka dari potensi serangan, pengguna QNAP disarankan untuk menginstal ulang aplikasi NetBak PC Agent untuk mendapatkan komponen runtime ASP.NET Core terbaru atau memperbarui ASP.NET Core secara manual di PC mereka dengan mengunduh dan menginstal ASP.NET Core Runtime (Hosting Bundle) terbaru dari Halaman unduh .NET 8.0.
Sebagai manajer program teknis keamanan .NET Barry Dorrans dijelaskan dua minggu laluketika Microsoft menambal kerentanan ini (yang ditandai dengan peringkat tingkat keparahan “tertinggi” yang diterima oleh kelemahan keamanan ASP.NET Core), dampak serangan CVE-2025-55315 bergantung pada aplikasi ASP.NET yang ditargetkan.
Eksploitasi yang berhasil dapat memungkinkan penyerang masuk sebagai pengguna lain (untuk peningkatan hak istimewa), melewati pemeriksaan pemalsuan permintaan lintas situs (CSRF), atau melakukan serangan injeksi.
“Jika berhasil dieksploitasi, penyerang yang diautentikasi dapat mengirimkan permintaan HTTP yang dibuat khusus ke server web, sehingga mengakibatkan akses tidak sah ke data sensitif, modifikasi file server, atau kondisi penolakan layanan terbatas,” tambah QNAP.
Pada bulan Januari, QNAP juga merilis pembaruan keamanan untuk menambal setengah lusin kerentanan rsync di HBS 3 Hybrid Backup Sync 25.1.x, milik perusahaan. solusi pencadangan data dan pemulihan bencana, yang memungkinkan penyerang jarak jauh mengeksekusi kode perusak yang berbahaya pada perangkat Network Attached Storage (NAS) yang belum ditambal.
