A privilege escalation vulnerability (CVE-2026-31431, CVSS 7.8 HIGH) exists in the Linux kernel, affecting QNAP QTS systems running kernel version 5.10 on ARM64. The vulnerability affects Linux kernel versions 4.14 through 6.12.85 across multiple branches, with specific fixed versions provided for each, such as 5.10.254, 5.15.204, 6.1.170, 6.6.137, 6.12.85, 6.18.22, and 6.19.12. QNAP users must apply the vendor's patch referenced in security advisory QSA-26-16.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 04 mai 2026 N° CERTFR-2026-AVI-0528 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Vulnérabilité dans Qnap QTS Gestion du document Référence CERTFR-2026-AVI-0528 Titre Vulnérabilité dans Qnap QTS Date de la première version 04 mai 2026 Date de la dernière version 04 mai 2026 Source(s) Bulletin de sécurité Qnap QSA-26-16 du 02 mai 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risque Élévation de privilèges Systèmes affectés QTS avec un noyau version 5.10 sur ARM64 Résumé Une vulnérabilité a été découverte dans Qnap QTS. Elle permet à un attaquant de provoquer une élévation de privilèges. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Qnap QSA-26-16 du 02 mai 2026 https://www.qnap.com/go/security-advisory/qsa-26-16 Référence CVE CVE-2026-31431 https://www.cve.org/CVERecord?id=CVE-2026-31431 Gestion détaillée du document le 04 mai 2026 Version initiale