QNAP Qsync Central 4.3.0.11/4.4.0.15/4.4.0.16_20240819/4.5.0.6 User Account Directory Traversal
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
Zusammenfassung
In QNAP Qsync Central wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist unbekannter Code der Komponente User Account Handler. Die Bearbeitung verursacht Directory Traversal. Die Verwundbarkeit wird als CVE-2025-33038 geführt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
In QNAP Qsync Central wurde eine kritische Schwachstelle gefunden. Es geht um eine unbekannte Funktion der Komponente User Account Handler. Dank der Manipulation mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-22. Dies wirkt sich aus auf Integrität und Verfügbarkeit. CVE fasst zusammen:
A path traversal vulnerability has been reported to affect Qsync Central. If a remote attacker gains a user account, they can then exploit the vulnerability to read the contents of unexpected files or system data.
We have already fixed the vulnerability in the following version:
Qsync Central 4.5.0.7 ( 2025/04/23 ) and laterDie Schwachstelle wurde durch coral als qsa-25-22 an die Öffentlichkeit getragen. Auf qnap.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 15.04.2025 mit CVE-2025-33038 vorgenommen. Die Ausnutzbarkeit gilt als leicht. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. MITRE ATT&CK führt die Angriffstechnik T1006 für diese Schwachstelle.
Ein Upgrade auf die Version 4.5.0.7 vermag dieses Problem zu beheben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.qnap.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.2
VulDB Base Score: 5.4
VulDB Temp Score: 5.2
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Directory TraversalCWE: CWE-22
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: Qsync Central 4.5.0.7
Timeline
15.04.2025 CVE zugewiesen23.04.2025 Gegenmassnahme veröffentlicht
29.08.2025 Advisory veröffentlicht
29.08.2025 VulDB Eintrag erstellt
29.08.2025 VulDB Eintrag letzte Aktualisierung
Quellen
Hersteller: qnap.comAdvisory: qsa-25-22
Person: coral
Status: Bestätigt
CVE: CVE-2025-33038 (🔒)
GCVE (CVE): GCVE-0-2025-33038
GCVE (VulDB): GCVE-100-321970
Eintrag
Erstellt: 29.08.2025 23:30Anpassungen: 29.08.2025 23:30 (70)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.