Er zijn verschillende beveiligingslekken in de QNAP VioStor netwerk-videorecorder (NVR) en QNAP NAS (Network-attached storage) ontdekt waardoor kwaadwillenden toegang tot de apparatuur kunnen krijgen. Het eerste probleem is aanwezig in VioStor NVR firmware versie 4.0.3 en QNAP NAS waar de Surveillance Station Pro is geactiveerd.

Hiermee zijn IP-camera's op de NAS aan te sluiten. Het blijkt dat de software over een vastgeprogrammeerd gastaccount beschikt waarmee het mogelijk is om toegang tot de webserver te krijgen. Het zou niet mogelijk zijn om dit gastaccount via de webinterface te zien of te beheren, waardoor gebruikers niet weten dat het er is.

Het tweede lek maakt het mogelijk voor een gastaccount om willekeurige scripts met beheerdersrechten te draaien. Hierdoor is het mogelijk voor een gastaccount om willekeurige code op de webserver uit te voeren.

Volgens
Als laatste is er ook een Cross-Site Request Forgery (CSRF) kwetsbaarheid, waardoor een aanvaller een nieuw beheerdersaccount kan toevoegen als hij de beheerder zover weet te krijgen om op een link te klikken terwijl die zelf op de webserver is ingelogd.

Volgens het Amerikaanse CERT Coordination Center is er nog geen 'praktische oplossing' voor de gevonden problemen. Wel krijgen gebruikers het algemene advies om alleen toegang vanaf betrouwbare verbindingen toe te staan.