高危QNAP QVR Pro漏洞可致远程攻击者获取系统访问权限

QNAP已发布一项关键安全公告，修复其QVR Pro监控软件中的一个严重漏洞。

该漏洞被追踪为CVE-2026-22898，允许远程未认证攻击者未经授权访问受影响系统。

依赖QVR Pro 2.7.x版本的用户必须立即应用最新补丁，以保护其网络附加存储环境免受潜在入侵。

该安全漏洞源于QVR Pro应用程序中一个关键功能缺少身份验证检查。FuzzingLabs的安全研究人员发现并报告了该漏洞，突显了软件访问控制机制中的一个重大疏忽。

由于认证过程实现不当，或者某些功能完全绕过了认证过程，远程威胁行为者无需有效凭据即可与易受攻击的端点进行交互。

高危QNAP QVR Pro漏洞
此类安全缺口对于企业监控应用尤其危险，因为它们通常处于外部网络连接与高度敏感内部数据的交叉点。

如果成功利用，CVE-2026-22898将为攻击者提供对运行QVR Pro服务的QNAP系统的直接未授权访问。

一旦进入环境，威胁行为者即可操纵监控配置、访问实时或录制的视频源，并可能横向移动到本地网络上的其他连接设备。

网络附加存储设备经常成为勒索软件团伙、僵尸网络运营商和数据勒索者的目标。

若未及时修补此关键漏洞，将严重增加系统完全受损、未授权数据被盗以及随后在企业网络部署恶意负载的风险。

QNAP已在最新软件版本中正式解决此问题，并强烈敦促所有运行QVR Pro 2.7.x的系统管理员立即升级至2.7.4.1485或更高版本。

该补丁恢复了必要的身份验证检查，以防止对关键应用功能的未授权访问。

要执行更新，管理员必须使用管理权限登录其QTS或QuTS hero界面。

从主仪表板导航至App Center，使用搜索功能找到QVR Pro应用程序。如果系统运行的是易受攻击的版本，将主动显示更新选项。

管理员应启动更新，等待确认消息，并让系统安全地安装修补后的应用程序。

QNAP建议验证软件更新是否成功安装，以确保环境得到全面保护，免受远程利用尝试。