Une faille majeure vient de surgir dans le logiciel de sauvegarde Windows de QNAP. Cette vulnérabilité critique (CVE-2025-55315) affecte ASP.NET Core, un composant central pour NetBak PC Agent. La sévérité de la faille est évaluée à 9.9 sur 10, laissant peu de place à l’erreur ou au retard dans la mise à jour.
QNAP recommande vivement à ses utilisateurs d’intervenir sans délai. Le risque encouru est loin d’être théorique : accès non autorisé, modification de fichiers, voire déni de service partiel. Il s’agit d’une menace concrète qui peut impacter directement la sécurité des données sauvegardées.
Une faille critique à ne pas sous-estimer dans NetBak PC Agent
Cette faille est une vulnérabilité dite « HTTP Request Smuggling » dans le serveur Kestrel d’ASP.NET Core. Elle permet à un attaquant non authentifié de dissimuler des requêtes secondaires dans une requête HTTP initiale. Une technique rare et puissante qui contourne des protections élémentaires.
Si exploitée, elle peut provoquer un accès illégitime à des données sensibles. L’attaquant pourrait aussi modifier le contenu des serveurs ou provoquer une indisponibilité partielle. Cela ouvre la porte à des attaques ciblées sur des NAS QNAP via leur agent de sauvegarde Windows.
QNAP précise que ce logiciel NetBak PC Agent installe et dépend du framework ASP.NET Core lors de sa configuration. Par conséquent, cette faille n’est pas un simple détail. Elle impacte directement les systèmes Windows qui utilisent cette solution pour sauvegarder des données critiques.
Les méthodes efficaces pour corriger rapidement la vulnérabilité
Pour pallier ce problème, deux options s’offrent aux administrateurs. D’abord, désinstaller l’ancienne version de NetBak PC Agent et réinstaller la dernière mise à jour disponible. Cette méthode est simple mais peut nécessiter un redémarrage des services.
Alternativement, il est possible de mettre à jour manuellement ASP.NET Core en installant le runtime 8.0.21 via le site officiel de Microsoft. Cette installation cible directement la composante vulnérable et renforce la sécurité sans passer par le logiciel QNAP.
Dans tous les cas, un redémarrage de l’application ou du système est impératif après l’installation. Négliger cette étape compromet la prise en compte de la correction et maintient une porte ouverte aux exploits.
L’importance des mises à jour depuis 2025 et la vigilance requise
Depuis la découverte de cette faille en 2025, Microsoft a publié plusieurs correctifs touchant ASP.NET Core et des outils liés comme Visual Studio 2022. Ces mises à jour corrigeaient aussi des failles dans les versions ASP.NET Core 2.3 à 9.0. Pourtant, cette dernière alerte montre qu’elle reste cruciale en 2026.
Le constat est sans appel : un correctif non appliqué est une vulnérabilité non maîtrisée. En environnement professionnel, où les données protégées sont stratégiques, chaque relâchement ouvre la porte à une potentielle compromission.
Il serait naïf de penser qu’un logiciel de sauvegarde est à l’abri. L’exemple QNAP démontre que même les produits dédiés à la sécurité des données peuvent devenir la faille d’entrée préférée des attaquants. D’où la nécessité d’une politique rigoureuse de mises à jour automatiques et de supervision.
Des risques concrets pour l’infrastructure et les données sauvegardées
Dans une architecture réseau d’entreprise, cette faille représente un point critique. La possibilité d’accès non autorisé sur un agent de sauvegarde peut compromettre la totalité des sauvegardes. Perte d’intégrité, fuites d’informations, voire sabotage interne peuvent en découler.
Il est impératif de mettre en place des mécanismes de surveillance et d’alerte pour tout comportement anormal des applications de sauvegarde. De plus, segmenter les accès et renforcer les règles de contrôle permet de limiter les impacts en cas d’intrusion.
En résumé, la faille CVE-2025-55315 oblige à une action immédiate pour rester maître de son environnement Windows avec QNAP. La mise à jour n’est pas une option, c’est une nécessité pour éviter des incidents graves et coûteux.
Un tutoriel vidéo explique comment effectuer la mise à jour de NetBak PC Agent en toute sécurité. Suivre ces instructions minimise les risques d’erreur et garantit une protection optimale.
Cette vidéo présente un panorama détaillé de la vulnérabilité CVE-2025-55315. Elle décrit les mécanismes d’attaque et les correctifs apportés par Microsoft et QNAP. Utile pour comprendre l’enjeu technique plutôt que de rester dans le flou.
Source: tech.yahoo.com
- Microsoft s’attaque enfin au problème des applications web sous Windows 11 : une amélioration attendue de longue date - avril 8, 2026
- Pourquoi Microsoft impose la mise à jour Windows 11 25H2 à tous les PC éligibles - avril 7, 2026
- Téléchargez l’ISO Windows 11 25H2 (installateur hors ligne) et conservez toujours une copie sécurisée - avril 6, 2026
