QNAP 目前正在調查 CVE-2026-31431,也稱為 Copy Fail。我們希望為擔心此漏洞可能影響 QNAP NAS 裝置的使用者提供一些說明。
簡而言之:絕大多數 QNAP NAS 機型並不受此漏洞影響。
此問題僅影響執行特定受影響 Linux kernel 版本的某些 ARM 架構 QNAP NAS 機型。根據我們目前的評估,情況如下:
- 所有 x86 架構的 QNAP NAS 機型皆不受影響。
- 採用 QTS 4.x 的 ARM 架構 NAS 機型不受影響。
- 僅有少部分執行受影響 kernel 版本的 ARM 架構 NAS 可能受影響。
請參考 QNAP 官方安全公告以取得最新資訊:
https://www.qnap.com/go/security-advisory/qsa-26-16
關於此漏洞
此漏洞屬於本地權限提升類型。
這表示攻擊者必須先能以一般(非管理員)使用者身份在 NAS 上執行程式碼,才有可能進一步利用此漏洞。這不是一個可直接從網際網路遠端利用的漏洞,攻擊者須先取得某種形式的本地存取權限。
在 QNAP NAS 上,SSH 與 Telnet 的存取預設僅限於管理員群組使用者。不過,若您有啟用其他服務或容器,且允許一般使用者或外部網路連線,也建議多加留意系統及應用程式對外曝露的情形。
建議採取的措施
為了降低整體風險,我們建議您:
- 除非絕對必要,請勿賦予一般使用者 Shell 存取權。
- 僅安裝來自信任來源的 Container 映像檔(Container Images)。
- 檢查 Container Station 設定,避免不必要的一般使用者存取容器。
- 應用程式、容器與服務應隨時保持在最新版本。
- 停用未使用的服務與應用程式。
- 若您未使用內建 Web Server,建議在 控制台 > Web Server 中將其關閉。
- 將 NAS 部署於防火牆之後,避免直接對外網際網路開放。
- 請遵從官方安全公告指示,並於有更新時盡快安裝安全性修補。
QNAP 正在積極開發安全性更新,並會在有進一步資訊或修補方案時隨時更新安全公告。
若您對某些系統設定有疑慮,請聯繫 QNAP 技術支援。
為保障您的安全,請勿在官方論壇公開敏感資訊,例如公網 IP 位址、使用者名稱、硬體序號、完整日誌或詳細系統設定。
— QNAP 社群團隊
根據 QNAP 產品安全事件回應小組(Product Security Incident Response Team)資訊撰寫