近期有兩則重要的資安事件通報,以下是我們的快速更新。
CVE-2026-32746 telnetd 漏洞
此漏洞存在於特定 telnetd 實作中。攻擊者可於初始化階段發送特製的資料,觸發記憶體緩衝區溢位,進而以系統權限執行任意指令。
QNAP NAS、QVP 及 TVR 產品的 telnet 服務預設為停用,且我們的系統採用不同的終端服務套件,並不包含有缺陷的功能程式碼。
此問題無需韌體更新。
Axios npm 套件投毒事件
軟體供應鏈攻擊。攻擊者於 1.14.1 與 0.30.4 版本中植入後門,該程式會竊取 Node.js 環境變數並將主機資訊傳送至外部伺服器。
部分 QNAP 軟體專案有使用 Axios。然而,我們的開發流程會固定套件版本並鎖定軟體物料清單(SBOM)。目前發行的軟體版本並未包含受感染的套件版本。
總結,現有 QNAP 產品不受這兩項問題影響,裝置環境與網路設定皆無須變更。