威聯通修補Pwn2Own資安競賽揭露的QHora路由器漏洞,可能導致攻擊者執行未授權程式碼
漏洞背景與揭露
威聯通(QNAP)於2025年10月下旬,針對Pwn2Own Ireland 2025資安競賽中揭露的漏洞,發布多項資安公告,其中以QHora路由器系列產品的漏洞最受矚目。
漏洞影響範圍
- 影響產品包括QHora路由器系列,其作業系統與相關應用程式存在重大資安風險。
- 漏洞涵蓋NAS作業系統QTS與QTS Hero,以及惡意軟體防護功能。
- 路由器作業系統QuRouter與NAS協作應用程式Notes Station 3亦存在重大層級漏洞。
修補行動與時間軸
在內部驗證與資安團隊全力修復後,威聯通於2025年10月27日(釋出日期為10月28日)針對Pwn2Own競賽首兩日所發現的QHora相關漏洞,完成修補並發布更新。
潛在風險與後續觀察
這些漏洞若未及時修補,可能導致攻擊者執行未授權的程式碼,進而對用戶資料與網路環境造成嚴重威脅。威聯通強調,其將NAS視為完整的電腦系統,而非一般網路周邊產品,並持續強化產品整體資安架構。