QNAP 目前正在調查 CVE-2026-31431,也就是 Copy Fail,我們希望針對可能擔心此漏洞是否影響 QNAP NAS 裝置的使用者,提供進一步說明。
簡單來說,大多數 QNAP NAS 機型並不受此漏洞影響。
此問題只影響特定使用受影響 Linux kernel 版本的 ARM 架構 QNAP NAS 機型。根據目前評估:
- 所有 x86 架構的 QNAP NAS 機型皆不受影響。
- 執行 QTS 4.x 的 ARM 架構 NAS 機型不受影響。
- 此問題僅適用於特定使用受影響 kernel 版本的 ARM 架構 NAS 機型。
請參考 QNAP 官方安全公告以取得最新資訊:
https://www.qnap.com/go/security-advisory/qsa-26-16
關於此漏洞
此漏洞屬於本機權限提升漏洞。
這表示攻擊者必須先能夠以一般使用者,也就是非管理員身分,在 NAS 上執行程式碼,才有可能進一步利用此漏洞。這並不是一個攻擊者在未取得任何本機存取能力前,就能直接從網際網路利用的漏洞。
在 QNAP NAS 裝置上,SSH 與 Telnet 存取權限預設僅限管理員群組使用者。不過,使用者仍建議檢查自己的系統與應用程式暴露情況,尤其是當您有執行可被其他使用者或外部網路存取的服務或容器時。
建議措施
為降低整體風險,我們建議採取以下措施:
- 除非有必要,請勿授予非管理員使用者 shell 存取權限。
- 僅執行來自可信來源的容器映像檔。
- 檢查 Container Station 設定,避免讓不必要的使用者存取容器。
- 保持應用程式、容器與服務為最新版本。
- 停用未使用的服務與應用程式。
- 若您沒有主動使用內建 Web Server,建議可至 Control Panel > Web Server 將其停用。
- 將 NAS 放在防火牆後方,避免直接暴露於網際網路。
- 持續關注官方安全公告,並在安全更新釋出後儘快安裝。
QNAP 正在準備安全更新,若有更多資訊或修補版本可用,將會更新官方安全公告。
如果您對特定系統設定有疑慮,請聯繫 QNAP Support 以取得進一步協助。
基於安全考量,請勿在論壇公開張貼敏感資訊,例如公開 IP 位址、使用者名稱、裝置序號、完整 logs,或詳細系統設定。
— QNAP Community Team
內容依據 QNAP Product Security Incident Response Team 提供資訊整理