QNAP NAS 權限提升漏洞

發佈日期: 2026年05月12日

風險: 中度風險

類型: 伺服器 - 其他伺服器

於 QNAP NAS 發現一個漏洞。本地攻擊者可利用這個漏洞，於目標系統觸發權限提升。

 

注意:

CVE-2026-43284 正被利用作零星攻擊。一項稱為 「Dirty Frag」 的本機權限提升漏洞，會影響 Linux 核心。如果被利用，此漏洞可能允許已通過身份驗證、擁有一般權限的本機使用者繞過安全限制，並取得更高的系統（root）權限。

 

受影響之系統或技術暫無可修補 CVE-2026-43284 的修補程式。

---

影響

• 權限提升

---

受影響之系統或技術

• 全部 QNAP ARM64-based NAS 型號
• 全部 QNAP x86-based NAS 型號
• 全部 QuTS hero NAS 型號
• 全部 QuTScloud NAS 實例

---

解決方案

臨時處理方法：

從以下臨時處理方法以減輕攻擊：

 

1. 限制 Shell 存取：撤銷所有非管理員帳戶的 SSH 或 Telnet 終端存取權限。

2. 容器安全：僅於 Container Station 部署受信任的映像檔，並避免以「特權」模式執行容器。

3. 最小化攻擊面：停用未使用的服務（例如 Web Server），並移除非必要的第三方應用程式。

4. 網絡隔離：確保 NAS 不直接暴露於互聯網，並使用 QuFirewall 或 VPN，僅允許受信任的內部網絡存取。

請瀏覽供應商之網站，以獲得更多詳細資料。

 

應用供應商提供的臨時處理方法：

• https://www.qnap.com/en/security-advisory/qsa-26-17

 

 

 

---

漏洞識別碼

• CVE-2026-43284

---

資料來源

• QNAP

---

相關連結

• https://www.qnap.com/en/security-advisory/qsa-26-17
• https://www.microsoft.com/en-us/security/blog/2026/05/08/active-attack-dirty-frag-linux-vulnerability-expands-post-compromise-risk/