L'agence nationale de la sécurité des systèmes d'information (ANSSI), via son Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR), a publié le 17 juin 2026 un avis de sécurité relatif à de multiples vulnérabilités découvertes dans plusieurs produits de l'équipementier taïwanais Qnap. Ces failles, identifiées sous une quinzaine de références CVE, touchent à la fois les systèmes d'exploitation propriétaires (QTS, QuTS hero, QuTS cloud) et divers logiciels compagnons (License Center, QuMagie, QVP).
Risques multiples pour les NAS et logiciels associés
Les vulnérabilités répertoriées exposent les systèmes à des risques graves. Un attaquant peut potentiellement exécuter du code arbitraire à distance, ce qui lui permettrait de prendre le contrôle complet de l'appareil concerné. D'autres failles facilitent une élévation de privilèges, offrant à un utilisateur malveillant un accès non autorisé à des fonctions réservées aux administrateurs. Le déni de service à distance figure également parmi les dangers, de même que des atteintes à la confidentialité des données stockées ou des contournements de la politique de sécurité définie par l'administrateur. Pour certains défauts, l'éditeur n'a pas encore précisé la nature exacte du risque.
Produits et versions affectées
L'avis du CERT-FR détaille les gammes impactées. Pour le système d'exploitation des NAS, toutes les versions de QTS antérieures à 5.2.10 sont concernées. Les versions de QuTS hero et QuTS cloud antérieures respectivement à h5.2.9 et c5.2.9 sont également vulnérables. Côté applicatif, le service multimédia QuMagie est affecté dans ses versions 2.8.x antérieures à 2.9.1 et 2.9.x antérieures à 2.10.0. Le logiciel de gestion de licences License Center doit être mis à jour vers la version 2.0.42 (les versions 1.8.56 et antérieures étant vulnérables). Enfin, le logiciel de surveillance vidéo QVP est concerné dans ses versions antérieures à 2.8.0.
Correctifs disponibles
Face à ces vulnérabilités, Qnap a diffusé deux bulletins de sécurité (QSA-26-10 et QSA-26-35) le même jour, le 17 juin 2026. Les administrateurs et utilisateurs sont invités à appliquer sans délai les correctifs proposés par l'éditeur. Le CERT-FR recommande de se référer à ces bulletins pour obtenir les mises à jour nécessaires. Les liens vers les bulletins officiels ont été communiqués dans l'avis.
Liste des vulnérabilités
Parmi les failles identifiées figurent notamment les CVE-2025-59382, CVE-2025-62851, CVE-2025-62858, CVE-2025-66273, CVE-2025-66279, CVE-2025-66280, CVE-2025-66281, CVE-2025-68405, CVE-2026-22893, CVE-2026-22899, CVE-2026-24720, CVE-2026-24724, CVE-2026-26236 et CVE-2026-26237. Chaque référence correspond à un défaut spécifique dont les détails techniques sont accessibles via la base CVE. Les équipes de sécurité sont incitées à consulter ces informations pour évaluer l'impact sur leurs infrastructures.
