在备受瞩目的Pwn2Own赛事现场,Summoning Team、DEVCORE、Team DDOS以及CyCraft实习生团队等多家顶尖安全研究队伍,成功演示了针对多个系统的漏洞利用过程。
QNAP已紧急发布安全通告,针对知名黑客大赛Pwn2Own Ireland 2025中成功攻陷其网络附加存储(NAS)设备的七项零日漏洞推出修复补丁。此次全面更新覆盖了核心操作系统与关键应用程序中的安全缺陷,包括重要的备份工具与恶意软件清除程序等组件。
来自全球的多支精英安全团队在Pwn2Own竞技场上接连完成漏洞攻防演示,展现出卓越的技术实力。

漏洞影响范围与修复方案
1. 核心操作系统:QTS与QuTS hero
QNAP主流操作系统中发现多个安全漏洞(CVE-2025-62847、CVE-2025-62848、CVE-2025-62849)。尽管官方未提供具体的CVSS评分,但结合零日漏洞特性与赛事攻陷事实来看,这些漏洞可能导致远程代码执行和敏感数据泄露等高风险威胁。
2. 备份与数据保护应用
两款核心数据保护工具存在安全漏洞:
HBS 3混合备份同步工具(CVE-2025-62840、CVE-2025-62842):该关键备份应用修复了多处安全缺陷。由于此工具处理所有备份任务,相关漏洞可能使攻击者获取历史数据和远程备份目标。26.1.x及更早版本用户需升级至HBS 3 Hybrid Backup Sync 26.2.0.938或更高版本。Hyper Data Protector(CVE-2025-59389):这款专业数据保护工具的漏洞已在2.2.4.1及后续版本中完成修复。
3. 恶意软件清除工具(CVE-2025-11837)
QNAP安全工具Malware Remover中发现零日漏洞。6.6.x版本用户需升级至Malware Remover 6.6.8.20251023或更新版本。
这些漏洞已在受控环境中证实可被利用,意味着现实攻击者能快速将这些技术整合进攻击活动。鉴于NAS设备存储数据的高价值性,QNAP用户应立即安装固件和应用更新。
