The CERT-FR advisory details multiple critical vulnerabilities across several QNAP products, including remote code execution, denial of service, and data confidentiality breaches. Affected systems include specific outdated versions of the Media Streaming add-on, QuFTP Service, QuNetSwitch, QuRouter, and QVR Pro. Patches are available via the referenced QNAP security bulletins (QSA-26-07, -09, -11, -12, -15); administrators must apply the updates corresponding to their specific product and version.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 23 mars 2026 N° CERTFR-2026-AVI-0336 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans les produits Qnap Gestion du document Référence CERTFR-2026-AVI-0336 Titre Multiples vulnérabilités dans les produits Qnap Date de la première version 23 mars 2026 Date de la dernière version 23 mars 2026 Source(s) Bulletin de sécurité Qnap QSA-26-07 du 21 mars 2026 Bulletin de sécurité Qnap QSA-26-09 du 21 mars 2026 Bulletin de sécurité Qnap qsa-26-11 du 21 mars 2026 Bulletin de sécurité Qnap QSA-26-12 du 21 mars 2026 Bulletin de sécurité Qnap QSA-26-15 du 21 mars 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à la confidentialité des données Contournement de la politique de sécurité Déni de service à distance Exécution de code arbitraire à distance Injection de code indirecte à distance (XSS) Systèmes affectés greffon Media Streaming versions 500.1.x antérieures à 500.1.1 QuFTP Service versions 1.4.x antérieures à 1.4.3 QuFTP Service versions 1.5.x antérieures à 1.5.2 QuFTP Service versions 1.6.x antérieures à 1.6.2 QuNetSwitch versions 2.0.4.x antérieures à 2.0.4.0415 QuNetSwitch versions 2.0.5.x antérieures à 2.0.5.0906 QuRouter versions 2.6.x antérieures à 2.6.3.009 QVR Pro versions 2.7.x antérieures à 2.7.4.14 Résumé De multiples vulnérabilités ont été découvertes dans les produits Qnap. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Qnap QSA-26-07 du 21 mars 2026 https://www.qnap.com/go/security-advisory/qsa-26-07 Bulletin de sécurité Qnap QSA-26-09 du 21 mars 2026 https://www.qnap.com/go/security-advisory/qsa-26-09 Bulletin de sécurité Qnap qsa-26-11 du 21 mars 2026 https://www.qnap.com/go/security-advisory/qsa-26-11 Bulletin de sécurité Qnap QSA-26-12 du 21 mars 2026 https://www.qnap.com/go/security-advisory/qsa-26-12 Bulletin de sécurité Qnap QSA-26-15 du 21 mars 2026 https://www.qnap.com/go/security-advisory/qsa-26-15 Référence CVE CVE-2025-59383 https://www.cve.org/CVERecord?id=CVE-2025-59383 Référence CVE CVE-2025-62843 https://www.cve.org/CVERecord?id=CVE-2025-62843 Référence CVE CVE-2025-62844 https://www.cve.org/CVERecord?id=CVE-2025-62844 Référence CVE CVE-2025-62845 https://www.cve.org/CVERecord?id=CVE-2025-62845 Référence CVE CVE-2025-62846 https://www.cve.org/CVERecord?id=CVE-2025-62846 Référence CVE CVE-2026-22895 https://www.cve.org/CVERecord?id=CVE-2026-22895 Référence CVE CVE-2026-22897 https://www.cve.org/CVERecord?id=CVE-2026-22897 Référence CVE CVE-2026-22898 https://www.cve.org/CVERecord?id=CVE-2026-22898 Référence CVE CVE-2026-22900 https://www.cve.org/CVERecord?id=CVE-2026-22900 Référence CVE CVE-2026-22901 https://www.cve.org/CVERecord?id=CVE-2026-22901 Référence CVE CVE-2026-22902 https://www.cve.org/CVERecord?id=CVE-2026-22902 Gestion détaillée du document le 23 mars 2026 Version initiale