最近有兩個比較大的資安新聞出現:
CVE-2026-32746
存在於特定 telnetd 中漏洞。攻擊者在連線初始化的選項協商階段發送特製的內容,即可觸發常駐程式的記憶體緩衝區溢位,進而以系統權限執行任意指令。
QNAP NAS/QVP/TVR 等產品的 telnet 服務預設為關閉。而且經過確認,我們的系統使用不同的終端服務套件,未包含該漏洞的缺陷函數碼。因此不需要針對此項目進行韌體更新。
而 Axios npm 套件投毒事件屬於軟體供應鏈攻擊。
惡意攻擊者在 1.14.1 與 0.30.4 版本的程式碼中植入後門,會竊取 Node.js 的環境變數,並將主機內的重要資訊傳送至外部伺服器。
QNAP 的部分軟體專案有引用 Axios。但我們的開發流程執行固定套件版本機制,並鎖定軟體物料清單(SBOM)。經過查詢,目前的發行軟體都包含受感染版號的套件。
所以現有 QNAP 產品不受這兩項問題影響,設備環境與網路配置無須因應變更。