QNAP 目前正在調查 CVE-2026-31431,又稱 Copy Fail 的資安漏洞。針對擔心此漏洞對 QNAP NAS 裝置造成影響的用戶,我們在此補充說明相關資訊。
簡單來說,大多數 QNAP NAS 型號並不受此漏洞影響。
這個問題僅影響運行特定 Linux Kernel 版本的部份 ARM 架構 QNAP NAS 型號。根據目前評估如下:
- 所有 x86 架構的 QNAP NAS 型號皆不受影響。
- 執行 QTS 4.x 的 ARM 架構 NAS 型號不受影響。
- 僅有執行受影響 kernel 版本的特定 ARM 架構 NAS 型號才會受影響。
最新資訊請參考 QNAP 官方資安公告:
https://www.qnap.com/go/security-advisory/qsa-26-16
關於此漏洞
該漏洞屬於本地權限升級問題。
也就是說,攻擊者若要利用此漏洞,必須已能在 NAS 上以普通(非管理員)用戶身分執行程式碼。此漏洞並不是可以讓攻擊者在取得任何本地存取權限前,就能透過網路直接利用的問題。
QNAP NAS 裝置預設僅允許管理員群組使用者存取 SSH 及 Telnet。不過,若您有執行讓其他使用者或外部網路可存取的服務或容器,建議定期檢查系統及應用程式的對外狀態。
建議措施
作為一般風險減緩措施,建議您:
- 除非必要,請勿將 shell 存取權限給予非管理員用戶。
- 僅使用信賴來源的容器映像檔。
- 檢查 Container Station 設定,避免不需要的用戶可存取容器。
- 保持應用程式、容器及服務為最新狀態。
- 關閉未使用的服務與應用程式。
- 如未使用內建 Web Server,建議於 控制台 > Web Server 停用該功能。
- 請將 NAS 部署於防火牆之內,避免直接對外公開。
- 持續關注官方資安通報,並於有安全更新時儘速安裝。
QNAP 正積極準備安全性更新,當有更多資訊或修正釋出時,將於官方資安公告同步更新。
若您對特定系統配置有疑慮,請聯繫 QNAP 支援中心。
為保護您的安全,請勿在論壇張貼公開 IP、用戶名、裝置序號、完整日誌或詳細系統資訊等敏感資料。
— QNAP 社群團隊
以上資訊由 QNAP 產品安全事件回應團隊提供