Une vulnérabilité critique affecte ASP.NET Core et met en danger l’agent NetBak PC de QNAP. Ce défaut de sécurité présente un score CVSS jamais vu auparavant. L’impact sur les sauvegardes des utilisateurs QNAP est à prendre très au sérieux !
La faille ASP.NET Core la plus sévère jamais signalée
Identifiée sous la référence CVE-2025-55315, cette vulnérabilité d’ASP.NET Core score 9.9 sur 10 en criticité. Elle touche un composant clé du framework web open source développé par Microsoft. Ce bug porte sur un phénomène d’HTTP request smuggling, permettant de contourner les mécanismes de sécurité au réseau.
Plus qu’une simple faiblesse, ce défaut peut laisser un attaquant détourner des sessions, s’authentifier en usurpant d’autres utilisateurs, ou injecter du code malveillant. C’est donc une porte ouverte pour voler ou modifier des données sensibles sur les serveurs vulnérables.
Microsoft a réagi en déployant un patch lors du Patch Tuesday d’octobre 2025, rappelant la gravité de cette faille. Néanmoins, le risque dépend aussi de la conception des applications utilisant ASP.NET Core.
Quelles conséquences pour QNAP et NetBak PC Agent ?
QNAP a confirmé que son NetBak PC Agent, outil utilisé pour sauvegarder les données sur NAS, repose sur des composants ASP.NET Core pouvant être vulnérables si non mis à jour. Le logiciel installé sur Windows peut embarquer une version obsolète du framework.
Si cette faille est exploitée sur cet agent, un attaquant pourrait potentiellement accéder aux données de sauvegarde, les altérer ou provoquer des interruptions critiques. Les sauvegardes, censées assurer la résilience des systèmes, deviennent alors un point faible.
Étant donné l’importance des sauvegardes dans les environnements professionnels, ne pas corriger ce défaut ouvre la porte à une catastrophe potentielle.
Comment se protéger et minimiser le risque immédiatement
La première démarche consiste à s’assurer que le NetBak PC Agent est installé avec une version d’ASP.NET Core mise à jour au minimum à la release 8.0.21, publiée en octobre 2025. Si ce n’est pas le cas l’agent doit être réinstallé avec la dernière version.
QNAP recommande également la mise à jour manuelle du framework sur les systèmes concernés. Vérifier les composants ASP.NET Core en place et corriger les versions en doublon ou obsolètes est impératif.
Les administrateurs réseau doivent intégrer cette mise à jour dans leurs routines, sans brusquerie, afin d’éviter toute interruption ou perte de configuration. Une approche planifiée reste le meilleur gage de stabilité.
Pourquoi ne pas négliger cette faille malgré l’absence d’exploitation connue
À ce jour, aucune attaque ciblant explicitement le NetBak PC Agent n’a été détectée. Cela ne doit pas réduire la vigilance. Les vulnérabilités sur les produits QNAP ont souvent été une cible privilégiée pour les cybercriminels.
Ignorer la mise à jour expose à des risques disproportionnés par rapport aux efforts d’administration. Par ailleurs, les attaques par injection et détournement de requêtes HTTP demeurent des vecteurs courants de compromission.
Enfin, anticiper les correctifs plutôt que de réagir à un incident est un principe incontournable pour maintenir des infrastructures solides et sécurisées.
Source: www.securityweek.com
- Annonce de la version Insider Preview de Windows 11 Build 26220.7653 sur le canal Bêta - janvier 17, 2026
- CES 2026 : Découvrez les dernières innovations PC sous Windows 11 à travers tout l’écosystème - janvier 16, 2026
- Que s’est-il passé avec mon menu Démarrer ? Découvrez la refonte de Windows 11 - janvier 15, 2026
