文章总结： QNAPQVRPro监控软件存在严重漏洞CVE-2026-22898，可导致未认证攻击者远程访问系统。该漏洞因身份验证检查缺失，可能被利用来操纵监控配置、访问视频数据并渗透内网。威联通已发布2.7.4.1485版本修复，建议用户立即升级并通过QTS界面验证更新。 综合评分： 80 文章分类： 漏洞分析,漏洞预警,解决方案,网络安全,应用安全

QNAP QVR Pro 严重漏洞可导致系统遭远程访问

Abinaya Abinaya

代码卫士

2026年3月24日 18:12 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

威联通（QNAP）发布安全公告，修复了QVR Pro监控软件中的一个严重漏洞CVE-2026-22898，可导致远程未认证攻击者获得对受影响系统的未授权访问权限。

QVR Pro 2.7.x版本用户必须立即安装最新补丁，确保网络附加存储环境的安全。该漏洞源自QVR Pro应用程序中的一个关键功能缺少身份验证检查，由FuzzingLabs的安全研究人员发现并报告。由于身份验证过程在某些功能上实现不当或被完全绕过，远程攻击者无需有效凭据即可与易受攻击的端点进行交互。

严重的QNAP QVR Pro漏洞

由于企业级监控应用通常处于外部网络连接与高度敏感内部数据的交汇点，因此该漏洞尤为危险。CVE-2026-22898如遭成功利用，可导致攻击者直接未授权访问运行 QVR Pro服务的 QNAP 系统。之后攻击者可操纵监控配置、访问实时或录制视频并可能跳转到位于本地网络上的其它联网设备。

网络附加存储设备常常是勒索团伙、僵尸网络操纵人员和数据勒索团伙的目标。该漏洞可导致系统遭完全攻陷、数据遭未授权盗取以及在企业网络部署恶意 payload。

漏洞已修复

威联通已在最新版本中修复该漏洞并强烈建议所有运行 QVR Pro 2.7.x 的用户立即升级至 2.7.4.1485 或后续版本。

补丁恢复了必要的身份认证检查，阻止对关键应用功能的未授权访问权限。更新时，管理员必须登录到 QTS 或 QuTS hero 界面。从主仪表盘导航至应用中心，通过搜索功能定位 QVR Pro 应用。如系统运行的是易受攻击的版本，则会显示更新选项。管理员应发起更新，等待确认信息并允许系统以安全的方式安装已修复应用。

威联通公司建议管理员验证软件更新是否成功安全，确保环境受到完全保护，免遭远程利用。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

QNAP修复高危SQL注入和路径遍历漏洞

QNAP修复Pwn2Own大赛上发现的7个 NAS 0day 漏洞

QNAP 提醒注意 Windows 备份软件中的严重 ASP.NET 漏洞

QNAP修复Pwn2Own大赛利用的多个漏洞

原文链接

Critical QNAP QVR Pro Vulnerability Let Remote Attackers Gain Access to the System

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Abinaya Abinaya《QNAP QVR Pro 严重漏洞可导致系统遭远程访问》