QNAP, Windows için geliştirilen NetBak PC Agent yedekleme yazılımında tespit edilen ciddi bir güvenlik açığına karşı kullanıcıları uyardı. Şirketin açıklamasına göre açık, Microsoft’un ASP.NET Core bileşenlerinde yer alıyor ve saldırganların ağ üzerinde güvenlik kontrollerini aşmasına neden olabiliyor.
ASP.NET Core Açığı Ağ Üzerinden Yetkisiz İşlemlere Yol Açıyor
CVE-2025-55315 koduyla kaydedilen güvenlik açığı, ASP.NET Core’da HTTP isteklerinin tutarsız şekilde yorumlanmasından kaynaklanıyor. “HTTP request/response smuggling” olarak tanımlanan bu zafiyet, yetkili bir saldırganın ağ üzerinden güvenlik önlemlerini atlatmasına imkân tanıyor. Uzmanlara göre bu açık, ASP.NET tarihinde keşfedilen en ciddi zafiyetlerden biri olarak değerlendiriliyor. Microsoft, 14 Ekim 2025 tarihinde yayımladığı güncelleme ile desteklenen ASP.NET sürümlerinde bu açığı kapattı.
QNAP, 24 ekim 2025 tarihinde yayımladığı güvenlik uyarısında, NetBak PC Agent yazılımının kurulumu sırasında Microsoft ASP.NET Core bileşenlerini otomatik olarak yüklediğini açıkladı. Bu nedenle sistem güncellenmemişse yazılımda savunmasız bir ASP.NET Core sürümü bulunabiliyor. Şirket, kullanıcıların Windows sistemlerinde en güncel Microsoft ASP.NET Core yamalarını kurmasını önemle tavsiye etti. Ayrıca QNAP, kullanıcıların ağ güvenliğini korumak için düzenli güncelleme kontrolleri yapmasını önerdi.
Uzmanlar, QNAP NAS cihazlarını yöneten kullanıcıların NetBak PC Agent yazılımını yalnızca resmi QNAP kaynaklarından indirmesini ve sistem bileşenlerinin güncel kalmasını vurguluyor. Ayrıca yedekleme işlemleri için kullanılan ağ bağlantılarının şifrelenmiş protokollerle korunması gerektiği belirtiliyor.
Bu tür açıkların, saldırganların ağ üzerindeki veri akışını manipüle etmesine veya hassas bilgilere erişmesine yol açabileceği ifade ediliyor.
