昆腾公司发布了一份重要的安全公告，警告用户 StorNext GUI API 中存在两个高危漏洞，这些漏洞会影响多种 StorNext 产品。如果这些漏洞同时被利用，可能会在易受攻击的系统上导致远程代码执行 (RCE)，对企业存储环境构成重大风险。

安全公告警告称：“ StorNext GUI API 中发现了两个高严重性安全漏洞……当这两个漏洞结合在一起时，StorNext 就有可能面临远程代码执行 (RCE) 的威胁。 ”

这两个严重漏洞是：

CVE-2025-46616（CVSS 9.9）：此缺陷允许未经授权的文件上传，从而可能导致任意远程代码执行。CVE-2025-46617（CVSS 7.1）：此漏洞允许暴露内部 StorNext 配置并使用未记录的用户凭据对配置参数进行未经授权的修改。

该公告指出，如果不更新，以下 Quantum 产品将容易受到攻击：

所有当前支持的 Workflow Director 版本 (6.3.1+) 和 StorNext RYO 7.2.4 之前版本ActiveScale Cold Storage 的所有版本（不带 Cold Storage 的 ActiveScale 不受影响）

管理员可以通过在 StorNext GUI 上运行简单的 curl 命令来验证是否存在漏洞。如果系统在使用特定凭证查询时返回“响应代码：200”，则表明系统存在漏洞。

Quantum 提供了一种明确的方法：“如果您收到的输出显示‘响应代码：200’，则您的 StorNext 存在安全漏洞。 ”

昆腾已发布缓解脚本 (stornext-mitigation.zip)，用于禁用易受攻击的 API 端点并保护受影响的系统，直至全面升级至 StorNext 7.2.4。应用缓解措施非常简单，只需 30 秒，并需重新启动 StorNext Web 服务。

管理员应注意一个副作用：如果您正在为 StorNext 设置高可用性 (HA)，则必须暂时禁用缓解措施以完成 HA 配置，然后再重新应用。

Quantum 强烈建议管理员尽快升级或应用提供的缓解补丁。

相关文章：

CISA 警告 Linux 内核和 Check Point 网关漏洞可能被利用Check Point 远程访问 VPN 零日漏洞技术细节公布量子飞跃：研究人员在安全直接通信中实现了前所未有的速度和范围Mozilla 推出企业版 Firefox Quantum