Die kritischen Schwachstellen, identifiziert als CVE-2023-50358 und CVE-2023-47218, erhielten im Common Vulnerability Scoring System (CVSS) eine mittlere Kritikalitätseinstufung von 5.8. Trotz der mittleren Einstufung birgt die hohe Zahl der über das Internet erreichbaren QNAP-Geräte, sowohl in Deutschland als auch weltweit, laut BSI ein erhebliches Risiko für weitreichende Schäden.

Die Bedrohungslage verschärft sich durch die kürzlich von den IT-Sicherheitsforschern von Unit42 veröffentlichten Proof of Concept (PoC)-Belege für die genannten Schwachstellen. Diese Veröffentlichung erfolgte nach monatelangem vertraulichen Austausch zwischen Unit42 und QNAP seit November 2023, initiiert durch Beobachtungen von Unit42 während eines IT-Sicherheitsvorfalls. Die Verfügbarkeit von PoC-Hinweisen könnte potenziell zu einer Zunahme von Angriffsversuchen auf QNAP-Geräte führen, weshalb Administratoren zu erhöhter Wachsamkeit und schneller Anwendung der vom Hersteller bereitgestellten Patches aufgerufen werden.