QNAP advirtió a los clientes que parchearan una vulnerabilidad crítica de ASP.NET Core que también afecta al NetBak PC Agent de la compañía, una utilidad de Windows para realizar copias de seguridad de datos en un dispositivo de almacenamiento conectado a la red (NAS) de QNAP.
Seguimiento como CVE-2025-55315esta falla de omisión de seguridad se encontró en el servidor web Kestrel ASP.NET Core y permite a atacantes con privilegios bajos secuestrar las credenciales de otros usuarios o eludir los controles de seguridad frontales a través de Contrabando de solicitudes HTTP.
«NetBak PC Agent se instala y depende de los componentes de Microsoft ASP.NET Core durante la instalación. Por lo tanto, las computadoras que ejecutan NetBak PC Agent pueden contener una versión afectada de ASP.NET Core si el sistema no se ha actualizado». QNAP dijo.
«QNAP recomienda encarecidamente a los usuarios que se aseguren de que sus sistemas Windows tengan instaladas las últimas actualizaciones de Microsoft ASP.NET Core».
Para proteger sus sistemas contra posibles ataques, se recomienda a los usuarios de QNAP que reinstale la aplicación NetBak PC Agent para obtener los últimos componentes de tiempo de ejecución de ASP.NET Core o actualicen manualmente ASP.NET Core en sus PC descargando e instalando el último ASP.NET Core Runtime (paquete de alojamiento) desde Página de descarga de .NET 8.0.
Como director del programa técnico de seguridad .NET, Barry Dorrans explicado hace dos semanascuando Microsoft parchó esta vulnerabilidad (que fue marcada con la clasificación de gravedad «más alta jamás recibida por una falla de seguridad de ASP.NET Core), el impacto de los ataques CVE-2025-55315 depende de la aplicación ASP.NET objetivo.
Una explotación exitosa podría permitir a los atacantes iniciar sesión como otro usuario (para escalar privilegios), eludir las comprobaciones de falsificación de solicitudes entre sitios (CSRF) o realizar ataques de inyección.
«Si se explota con éxito, un atacante autenticado podría enviar solicitudes HTTP especialmente diseñadas al servidor web, lo que daría como resultado un acceso no autorizado a datos confidenciales, modificación de archivos del servidor o condiciones limitadas de denegación de servicio», añadió QNAP.
En enero, QNAP también lanzó actualizaciones de seguridad para corregir media docena de vulnerabilidades rsync en su HBS 3 Hybrid Backup Sync 25.1.x, el software de la compañía. solución de copia de seguridad de datos y recuperación de desastres, eso podría permitir a atacantes remotos ejecutar código creado con fines malintencionados en dispositivos de almacenamiento conectado a la red (NAS) sin parches.
El 46% de los entornos tenían contraseñas descifradas, casi el doble que el 25% del año pasado.
Obtenga ahora el Informe Picus Blue 2025 para obtener una visión completa de más hallazgos sobre tendencias de prevención, detección y filtración de datos.
