Kritična ranjivost omogućava hakerima da krijumčare HTTP zahtjeve i pristupe osjetljivim podacima, mijenjaju fajlove na serveru ili izazovu DoS stanje.
Tajvanska kompanija QNAP Systems saopštila je da je njen NetBak PC Agent potencijalno pogođen nedavno otkrivenom ranjivošću u ASP.NET Core okviru, koja ima „najveći ikada“ CVSS rezultat za propust u ovom open-source web razvojnome okviru.
Ranjivost, označena kao CVE-2025-55315 (CVSS ocjena 9.9), predstavlja HTTP request smuggling grešku koja omogućava hakerima da zaobiđu bezbjednosne kontrole preko mreže ili preuzmu korisničke akreditive.
Microsoft je ispravku objavio u okviru oktobarskog „Patch Tuesday“ ažuriranja, upozoravajući da se propust može iskoristiti za curenje osjetljivih informacija, izmjenu sadržaja fajlova ili izazivanje pada servera.
Prema riječima Barryja Dorransa, menadžera za bezbjednost .NET programa, stvarni uticaj ranjivosti zavisi od načina na koji je aplikacija izgrađena – u nekim slučajevima napadač može preuzeti nalog drugog korisnika, zaobići CSRF provjere, slati interne zahtjeve i sprovoditi napade ubrizgavanjem koda.
Kako navodi QNAP, NetBak PC Agent tokom instalacije dodaje i koristi ASP.NET Core komponente, što može dovesti do pokretanja ranjive verzije okvira na sistemima koji nisu ažurirani.
NetBak PC Agent je Windows aplikacija koja korisnicima omogućava bekapovanje sadržaja računara i servera na QNAP NAS uređaje, kao i vraćanje sistema po potrebi.
S obzirom na ključnu ulogu aplikacije u bekap/restauracionim operacijama, uspješno iskorišćavanje ranjivosti CVE-2025-55315 moglo bi imati ozbiljne posljedice, jer hakeri mogu dobiti pristup rezervnim kopijama podataka.
QNAP apeluje na korisnike da odmah primijene zakrpe za ASP.NET Core, bilo ponovnom instalacijom agenta ili ručnim preuzimanjem i instalacijom najnovije verzije okvira.
Kompanija nije navela da je ranjivost trenutno iskorišćena protiv korisnika NetBak PC Agent-a, ali propusti u QNAP proizvodima tradicionalno predstavljaju popularne mete za hakere.
Izvor: SecurityWeek
