QNAP publicó un aviso de seguridad que aborda múltiples vulnerabilidades en su aplicación. 

Estos fallos podrían permitir a ciber atacantes robar información confidencial, bloquear procesos del sistema o modificar la memoria de los dispositivos de almacenamiento. 

QNAP System es una empresa de tecnológica especializada en soluciones de almacenamiento en red (NAS), videovigilancia, infraestructura de red y gestión de datos para hogares, pymes y empresas. 

Este 3 de enero se publicó una actualización de seguridad que resuelve dos problemas distintos que afectaban a su versión 2.0.x. QNAP ha calificado la gravedad general de estas fallas como moderada. 

El aviso destaca dos vulnerabilidades específicas originadas en errores de gestión de memoria. 

El primer problema, identificado como CVE-2025-52871, es una vulnerabilidad de lectura fuera de límites. 

Si un atacante remoto obtiene acceso a una cuenta de usuario estándar, puede explotar esta vulnerabilidad para leer datos a los que no debería tener acceso, lo que podría exponer información confidencial almacenada en la memoria del sistema.

El segundo problema, CVE-2025-53597, es una vulnerabilidad de desbordamiento de búfer. Esta vulnerabilidad es más grave, pero requiere mayores privilegios; un atacante necesita acceder a una cuenta de administrador para explotarla. 

Una explotación exitosa permite al atacante modificar la memoria o bloquear procesos, lo que provoca una denegación de servicio (DoS) o una posible inestabilidad del sistema.
QNAP ha resuelto estos problemas en la versión 2.0.36 y posteriores de License Center. 

La compañía recomienda encarecidamente que todos los usuarios que utilicen License Center 2.0.x actualicen a la última versión inmediatamente para garantizar la seguridad de sus datos.