A QNAP alertou seus clientes sobre a necessidade de corrigir uma vulnerabilidade crítica no ASP.NET Core que também afeta o NetBak PC Agent, ferramenta do Windows usada para realizar backups em dispositivos NAS (Network Attached Storage) da empresa.
Identificada como
CVE-2025-55315
, essa falha de bypass de segurança foi encontrada no servidor web Kestrel do ASP.NET Core.
A vulnerabilidade permite que atacantes com poucos privilégios sequestrarem credenciais de outros usuários ou contornem controles de segurança na interface por meio de uma técnica conhecida como HTTP request smuggling.
Segundo a QNAP, “o NetBak PC Agent instala e depende dos componentes da Microsoft ASP.NET Core durante sua configuração.
Portanto, computadores que executam o NetBak PC Agent podem conter uma versão vulnerável do ASP.NET Core caso o sistema não tenha sido atualizado”.
Por isso, a empresa recomenda enfaticamente que os usuários mantenham seus sistemas Windows atualizados com as últimas versões do ASP.NET Core disponibilizadas pela Microsoft.
Para proteger seus sistemas contra possíveis ataques, os usuários da QNAP devem reinstalar o aplicativo NetBak PC Agent, garantindo a instalação dos componentes mais recentes do ASP.NET Core Runtime.
Outra alternativa é atualizar manualmente o ASP.NET Core nos computadores, baixando e instalando a versão mais recente do ASP.NET Core Runtime (Hosting Bundle) disponível na página oficial de downloads do .NET 8.0.
Barry Dorrans, gerente técnico de segurança do programa .NET, explicou há duas semanas que, quando a Microsoft corrigiu essa falha — que recebeu a maior classificação de severidade já atribuída a uma vulnerabilidade no ASP.NET Core — o impacto dos ataques que exploram a
CVE-2025-55315
varia conforme o aplicativo ASP.NET alvo.
A exploração bem-sucedida pode permitir que o invasor faça login como outro usuário para escalar privilégios, contornar verificações de cross-site request forgery (CSRF) ou realizar ataques de injeção.
A QNAP acrescenta: “Se explorada, um invasor autenticado poderia enviar requisições HTTP especialmente elaboradas ao servidor web, resultando em acesso não autorizado a dados sensíveis, modificações em arquivos do servidor ou até episódios limitados de negação de serviço (DoS).”
Além dessa ameaça, em janeiro a QNAP lançou atualizações para corrigir seis vulnerabilidades no protocolo rsync do HBS 3 Hybrid Backup Sync 25.1.x, sua solução de backup e recuperação de desastres.
Essas falhas permitiam que atacantes remotos executassem código malicioso em dispositivos NAS que não estivessem devidamente corrigidos.
Manter o software atualizado é essencial para evitar que falhas como essas sejam exploradas, comprometendo a segurança dos dados armazenados em rede.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...