Multiples vulnérabilités dans les produits Synology (28 novembre 2024)
Publié le 28 novembre 2024 09:51
Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
- Élévation de privilèges
Systèmes affectés
- BeeDrive for desktop versions antérieures à 1.3.2-13814
- BeeFiles pour BeeStation OS versions 1.0.x antérieures à 1.0.2-10429
- BeeFiles pour BeeStation OS versions 1.1.x antérieures à 1.1.0-10555
- DSM versions 7.1 antérieures à 7.1.1-42962-7
- DSM versions 7.2.1.x antérieures à 7.2.1-69057-6
- DSM versions 7.2.2.x antérieures à 7.2.2-72806-1
- DSMUC versions 3.1.x antérieures à 3.1.4-23079
- Surveillance Station pour DSM 6.2 versions antérieures à 9.2.2-9575
- Surveillance Station pour DSM 7.1 versions antérieures à 9.2.2-11575
- Surveillance Station pour DSM 7.2 versions antérieures à 9.2.2-11575
L'éditeur indique que les mises à jour pour DSM 7.2.1, DSM 7.1 et DSMUC 3.1, corrigeant les vulnérabilités rendues publiques au PWN2OWN 2024, seront disponibles d'ici trente jours.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Synology. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et un déni de service à distance.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation