Baru-baru ini muncul dua berita keamanan siber yang cukup besar:
CVE-2026-32746
Terdapat kerentanan pada telnetd tertentu. Penyerang dapat mengirimkan konten khusus pada tahap negosiasi opsi inisialisasi koneksi untuk memicu buffer overflow pada program resident, sehingga dapat menjalankan perintah apa pun dengan hak akses sistem.
Layanan telnet pada produk QNAP NAS/QVP/TVR dan sejenisnya secara default dinonaktifkan. Selain itu, setelah dikonfirmasi, sistem kami menggunakan paket layanan terminal yang berbeda dan tidak mengandung kode fungsi yang rentan tersebut. Oleh karena itu, tidak perlu melakukan pembaruan firmware untuk masalah ini.
Sedangkan insiden poisoning paket npm Axios termasuk dalam serangan rantai pasokan perangkat lunak.
Penyerang jahat telah menyisipkan backdoor pada kode versi 1.14.1 dan 0.30.4, yang akan mencuri variabel lingkungan Node.js dan mengirimkan informasi penting dari host ke server eksternal.
Beberapa proyek perangkat lunak QNAP memang menggunakan Axios. Namun, proses pengembangan kami menerapkan mekanisme versi paket tetap dan mengunci Daftar Bahan Perangkat Lunak (SBOM). Setelah dilakukan pengecekan, perangkat lunak yang saat ini dirilis tidak mengandung paket dengan versi yang terinfeksi.
Jadi, produk QNAP yang ada saat ini tidak terpengaruh oleh kedua masalah tersebut, sehingga lingkungan perangkat dan konfigurasi jaringan tidak perlu diubah.