QNAP 已向用户发出警示开云(中国)Kaiyun·体育官方网站-登录入口，条目建造一处 ASP.NET Core 高危罅隙——该罅隙相通影响其 NetBak PC Agent 器具，这是一款用于向 QNAP 收罗附加存储（NAS）开荒备份数据的 Windows 诓骗。

该罅隙编号为 CVE-2025-55315，属于安全绕过罅隙，存在于 Kestrel ASP.NET Core Web 工作器中。低权限抨击者可通过 HTTP 肯求私运技能，劫捏其他用户的笔据，或绕过前端安全截止机制。

QNAP 讲解称：" NetBak PC Agent 在装置历程中会部署并依赖微软 ASP.NET Core 组件。因此，若出手该器具的 Windows 系统未实时更新，其搭载的 ASP.NET Core 版块可能受此罅隙影响。"

QNAP 热烈提议用户确保 Windows 系统已装置最新的微软 ASP.NET Core 更新，以注释潜在抨击。

为保险系统安全，QNAP 用户可通过以下两种姿色建造罅隙：

1. 从头装置 NetBak PC Agent 诓骗方式，获取集成最新版 ASP.NET Core 出手时组件的版块；

2. 手动更新 ASP.NET Core：造访 .NET 8.0 下载页面，下载并装置最新的 ASP.NET Core 出手时（宿主系缚包，Hosting Bundle）。

罅隙危害：多场景安全风险

微软 .NET 安全技能东说念主员示意，该罅隙是 ASP.NET Core 历史上获取"最高严重级别"评级的安全罅隙，其抨击影响取决于指标 ASP.NET 诓骗的具体场景。

得到手用该罅隙后，抨击者可完了：

- 冒充其他用户登录，达成权限提高；

- 绕过跨站肯求伪造（CSRF）校验；

- 发起注入抨击。

QNAP 进一步补充："若罅隙被得到手用，已认证抨击者可向 Web 工作器发送特制 HTTP 肯求，导致敏锐数据遭未授权造访、工作器文献被改削，或激勉有限鸿沟的拒却工作（DoS）景色。"

本年 1 月，QNAP 曾针对其数据备份与不沉静还原科罚有筹商—— HBS 3 Hybrid Backup Sync 25.1.x 版块，发布安全更新建造了 6 处 rsync 罅隙。这些罅隙可能导致汉典抨击者在未打补丁的 NAS 开荒上开云(中国)Kaiyun·体育官方网站-登录入口，扩充特制坏心代码。