威聯通修補Pwn2Own資安競賽揭露的QHora路由器漏洞,可能導致攻擊者執行未授權程式碼
漏洞背景與揭露
威聯通(QNAP)於2025年10月下旬透過Pwn2Own Ireland 2025漏洞挖掘競賽,揭露了其QHora路由器系列產品的多項資安漏洞。這些漏洞被認為可能讓攻擊者執行未授權的程式碼,進而對用戶資料與網路環境造成威脅。
修補行動與時間軸
- 2025年10月27日,威聯通完成內部驗證與資安團隊的修復工作,針對Pwn2Own競賽首兩日所發現的QHora相關漏洞,發布了修補版本。
- 2025年10月28日,官方正式釋出QHora路由器2.6.2韌體更新,以修補這些漏洞。
- 2025年11月8日,威聯通發布11則資安公告,進一步修補旗下多項產品的漏洞,其中以Pwn2Own揭露的資安問題最受矚目。
- 2025年11月23日,威聯通針對旗下產品修補超過30項漏洞,包括路由器作業系統QuRouter與NAS協作應用程式Notes Station 3,這些漏洞皆與Pwn2Own競賽所揭露的問題相關。
產品影響範圍
受影響的產品涵蓋威聯通NAS作業系統QTS與QTS Hero,以及QHora路由器系列的作業系統與相關應用程式。
資安策略與觀點
威聯通科技軟體研發中心暨軟體安全架構部研發經理黃士展表示,他們將NAS視為完整的電腦系統,而非一般網路周邊產品,並強調主動公開與修補CVE弱點,以強化整體產品資安。