2026 年 4 月 6 日，威联通（QNAP）安全团队发布 QSA-26-10 号公告，一次性披露了十余个影响其核心操作系统的高危漏洞。这批漏洞经评估均为 " 重要 " 级别，波及 QTS 5.2.7、QuTS hero h5.2.8、QuTS cloud c5.2.8 以及 QVP 2.7.1 等主流版本。

威联通 NAS 设备广泛应用于个人存储、中小企业文件管理和视频监控场景。此次公告显示，其中危害最大的一组命令注入漏洞，已具备让攻击者完全控制受影响设备的潜力。官方确认，所有披露漏洞均已在最新固件中修复。

命令注入成头号威胁：一个 API 参数即可攻陷整台 NAS

在本次修复列表里，三类命令注入漏洞编号尤为引人关注：CVE-2025-66273、CVE-2025-66279 和 CVE-2026-22893。攻击路径并不复杂——已通过身份验证的管理员账户，能够在用户名或 API 输入等参数位置，植入精心构造的系统命令。

问题出在系统对这些参数的校验逻辑上。当用户输入被原样传递至底层命令解释器时，攻击者可在正常指令后追加恶意代码。这意味着一旦管理员账户泄露，攻击者就能在 NAS 设备上执行任意系统命令，进而完成文件篡改、植入后门程序、乃至以 NAS 为跳板向内部网络横向移动。

CVE-2026-22893 的特殊危险之处在于，它允许以更高权限级别执行命令。常规操作中本该受限的系统调用，在这个漏洞面前形同虚设。另外，公告还记录了一个编号为 CVE-2025-59382 的 URL 注入漏洞，潜伏在密码重置机制内部，攻击者可以构建钓鱼重置链接，诱导用户向攻击者控制的页面提交登录凭证。

内存管理缺陷触发连锁反应：长文件名可即刻瘫痪设备

除命令注入外，QSA-26-10 公告还集中披露了一批与内存处理相关的缺陷，包括堆栈溢出和缓冲区溢出漏洞。涉及编号从 CVE-2025-62858、CVE-2025-68405，一直到 CVE-2026-26239 至 CVE-2026-26241 这一整段序列。

其中 CVE-2026-26240 和 CVE-2026-26241 的触发条件颇具代表性：上传文件时若使用超长文件名，会导致 utilRequest.CGI 组件在处理过程中崩溃。文件管理本是 NAS 的基础功能，而攻击者仅靠一次上传操作就能制造服务中断。这类漏洞虽不直接导致数据泄露，但对业务连续性的打击非常直接。

同一批公告里，CVE-2025-66280 与 CVE-2025-66281 涉及栈操控和空指针解引用问题。攻击者只需发送特别构造的请求，便能使服务进程崩溃。这类内存层面的错误往往难以通过常规安全扫描检出，影响范围覆盖日常文件同步、备份等核心服务。

访问控制失守：低权限用户也能越权读取敏感文件

CVE-2026-24724 的存在，说明即便是已完成身份校验的用户也不应被完全信任。该漏洞属于越权访问问题——已通过认证的用户可绕过既定限制，直接访问本不应暴露的敏感文件。一旦与前述命令注入漏洞形成组合拳，攻击者便可在设备内部完成信息收集与权限扩张。

资源管控层面，CVE-2026-24720 允许攻击者以无节制的方式消耗 CPU 和内存资源。持续的资源榨取将导致系统性能断崖式下降，直至所有正常服务停摆。另一个编号为 CVE-2026-22899 的漏洞则赋予了低权限用户触发空指针解引用并制造拒绝服务的能力——权限门槛之低，放大了此漏洞的实际威胁面。

修复版本已推送：管理员应立即操作

威联通已将 QTS 升级至 5.2.10 版本、QuTS hero 升级至 h5.2.9 版本、QuTS cloud 升级至 c5.2.9 版本、QVP 升级至 2.8.0 版本。这些都是针对 QSA-26-10 公告中所有漏洞的完整修复版本。

更新操作路径十分明确：管理员登录设备管理界面，进入固件更新区域，即可看到最新版本推送。考虑到已披露漏洞的利用难度并不高——部分攻击流程仅需管理员权限和特定参数输入——延迟更新的时间窗口每延长一天，设备暴露在潜在攻击下的风险就增加一成。

对于承载着家庭重要数据或企业内部文件流转的 NAS 设备而言，此次更新并非可选的 " 功能优化 "，而是阻断已公开攻击路径的必要动作。从密码重置处的钓鱼风险，到超长文件名引发的服务崩溃，再到命令注入可实现的全设备控制，十余个漏洞已勾勒出一条完整的攻击链：先瘫痪服务、再窃取凭证、最终拿下控制权。