QNAP schließt 14 NAS-Lücken, jetzt QTS und QuTS aktualisieren

QNAP hat 14 Sicherheitslücken in QTS, QuTS hero und QuTS cloud geschlossen.

QNAP hat in seinen NAS-Systemen 14 Sicherheitslücken geschlossen. Mehrere erlauben Angreifern aus der Ferne gefährliche Aktionen, eine sogar ohne Login. Wer ein QNAP-NAS nutzt, sollte QTS oder QuTS hero jetzt aktualisieren. So spielst du das Update ein und sicherst dein Gerät zusätzlich ab.

Steffen Zahn, Veröffentlicht am 29.06.2026

Security NAS

QNAP hat ein größeres Sicherheitsupdate für seine Netzwerkspeicher veröffentlicht. Das Advisory QSA-26-10 vom 17. Juni 2026 schließt 14 Schwachstellen in den Betriebssystemen QTS, QuTS hero und QuTS cloud sowie in der Überwachungslösung QVP. Wer ein QNAP-NAS betreibt, sollte zeitnah aktualisieren, denn auf so einem Gerät liegen meist alle wichtigen Daten.

Welche Lücken QNAP geschlossen hat

Unter den 14 Fehlern stecken mehrere heikle. Eine URL-Injection mit der Kennung CVE-2025-59382 erlaubt es Angreifern aus der Ferne, Links zum Zurücksetzen des Passworts zu manipulieren und Opfer auf gefälschte Seiten zu locken, um Zugangsdaten abzugreifen. Mehrere Command-Injection-Lücken lassen angemeldete Administratoren beliebige Systembefehle einschleusen. Besonders ernst ist ein Speicherfehler mit der Kennung CVE-2026-26241. Er lässt sich laut QNAP auch ohne Anmeldung über manipulierte Datei-Uploads mit überlangen Dateinamen ausnutzen.

Diese Versionen sind betroffen

Verwundbar sind QTS 5.2.7, QuTS hero h5.2.8, QuTS cloud c5.2.8 und QVP 2.7.1. QNAP hat die Fehler in den neueren Versionen behoben, unter anderem in QTS 5.2.9.3499 und QuTS hero h5.2.9. Da viele NAS rund um die Uhr laufen und oft aus dem Internet erreichbar sind, sind sie ein beliebtes Ziel für Angriffe.

So aktualisierst du dein QNAP-NAS

Das Update spielst du direkt am Gerät ein. Melde dich im Web-Interface an, öffne die Systemsteuerung, dann System und Firmware-Aktualisierung, und prüfe dort auf neue Versionen. Alternativ lädst du die passende Firmware aus dem QNAP-Downloadcenter und installierst sie manuell. Nach dem Update startet das NAS einmal neu.

So schützt du dein NAS zusätzlich

Ein NAS gehört nicht ungeschützt ins Internet. Schalte Fernzugriffe ab, die du nicht brauchst, und stelle das Admin-Konto nicht direkt online. Nutze starke, einzigartige Passwörter und aktiviere die Zwei-Faktor-Anmeldung. Wer von unterwegs zugreifen muss, sollte das über ein VPN tun, statt die NAS-Oberfläche offen ins Netz zu stellen.

Das Einspielen dauert nur wenige Minuten. Angesichts einer Lücke, die sich sogar ohne Login ausnutzen lässt, ist das gut investierte Zeit.

Wer es genauer wissen will, findet alle Details und die vollständige Liste der Lücken im QNAP Security Advisory QSA-26-10.