文章总结： QNAP修复了QuMagie照片管理应用中的四个安全漏洞，其中三个无需身份验证即可导致私人照片、人脸识别缩略图和相册压缩包泄露，第四个漏洞影响LicenseCenter。攻击者可远程窃取敏感媒体文件用于勒索或身份盗窃。建议用户立即更新至QuMagie2.9.1/2.10.0和LicenseCenter2.0.42，并通过VPN访问避免直接暴露公网。 综合评分： 85 文章分类： 漏洞预警,解决方案,网络安全,应用安全,数据安全

QNAP修补QuMagie漏洞，防止私人媒体文件泄露

sec随谈 sec随谈

sec随谈

2026年6月23日 08:54 北京

在小说阅读器读本章

去阅读

概要 QNAP已修复四个QuMagie漏洞，其中三个无需登录即可利用。未经身份验证的攻击者可查看私人照片、AI人脸识别缩略图及相册压缩包。第四个漏洞影响License Center。目前尚无任何漏洞被在野利用的报告。

为何值得关注 QuMagie是QNAP为NAS设备开发的照片管理应用。许多用户将其暴露在互联网上以实现远程访问。其中三个漏洞无需身份验证，攻击者无需任何凭据即可利用。因此，远程攻击者可直接从设备中窃取个人媒体文件。被盗照片可能被用于勒索、人肉搜索或身份盗窃。人脸识别数据尤为敏感，因为它将图像与具体人物相关联。QNAP NAS设备也是机会性扫描攻击的常见目标。

攻击原理 三个QuMagie漏洞均可导致信息泄露。CVE-2026-26236允许未经身份验证的用户访问已存储的媒体文件；CVE-2026-26237暴露人脸识别缩略图和文件夹封面图片；CVE-2026-44083可开放对媒体文件和完整相册压缩包的访问权限。第四个漏洞CVE-2025-62851是License Center中的路径遍历漏洞，经过身份验证的管理员可借此读取目标目录之外的文件。这四个QuMagie漏洞均以数据泄露为核心，而非代码执行。目前所有漏洞均已在最新版本中修复。

受影响版本 QuMagie 2.8.2已在2.9.1中修复；QuMagie 2.9.0需升级至2.10.0；License Center 1.8.56已在2.0.42中修复。

修复与缓解措施 更新现已就绪。请以管理员身份登录，打开应用中心，分别更新QuMagie和License Center。完整版本对应关系请参阅QSA-26-35安全公告。目前尚未确认有公开的漏洞利用代码，也无在野利用案例。即便如此，仍建议尽快完成修复，并避免将QuMagie直接暴露在公网上。建议使用VPN进行远程访问，并在条件允许的情况下将该应用限制在可信网络内使用。

参考链接：

https://www.qnap.com/en-uk/security-advisory/qsa-26-35

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《QNAP修补QuMagie漏洞，防止私人媒体文件泄露》