QNAP 已向用户发出警示，要求修复一处 ASP.NET Core 高危漏洞——该漏洞同样影响其 NetBak PC Agent 工具，这是一款用于向 QNAP 网络附加存储（NAS）设备备份数据的 Windows 应用。

该漏洞编号为 CVE-2025-55315，属于安全绕过漏洞，存在于 Kestrel ASP.NET Core Web 服务器中。低权限攻击者可通过 HTTP 请求走私技术，劫持其他用户的凭证，或绕过前端安全控制机制。

QNAP 解释称："NetBak PC Agent 在安装过程中会部署并依赖微软 ASP.NET Core 组件。因此，若运行该工具的 Windows 系统未及时更新，其搭载的 ASP.NET Core 版本可能受此漏洞影响。"

QNAP 强烈建议用户确保 Windows 系统已安装最新的微软 ASP.NET Core 更新，以防范潜在攻击。

为保障系统安全，QNAP 用户可通过以下两种方式修复漏洞：

1. 重新安装 NetBak PC Agent 应用程序，获取集成最新版 ASP.NET Core 运行时组件的版本；

2. 手动更新 ASP.NET Core：访问 .NET 8.0 下载页面，下载并安装最新的 ASP.NET Core 运行时（宿主捆绑包，Hosting Bundle）。

漏洞危害：多场景安全风险

微软 .NET 安全技术人员表示，该漏洞是 ASP.NET Core 历史上获得 " 最高严重级别 " 评级的安全漏洞，其攻击影响取决于目标 ASP.NET 应用的具体场景。

成功利用该漏洞后，攻击者可实现：

- 冒充其他用户登录，达成权限提升；

- 绕过跨站请求伪造（CSRF）校验；

- 发起注入攻击。

QNAP 进一步补充：" 若漏洞被成功利用，已认证攻击者可向 Web 服务器发送特制 HTTP 请求，导致敏感数据遭未授权访问、服务器文件被篡改，或引发有限范围的拒绝服务（DoS）状态。"

今年 1 月，QNAP 曾针对其数据备份与灾难恢复解决方案—— HBS 3 Hybrid Backup Sync 25.1.x 版本，发布安全更新修复了 6 处 rsync 漏洞。这些漏洞可能导致远程攻击者在未打补丁的 NAS 设备上，执行特制恶意代码。