BDU:2020-05512

Опубликовано: 29 окт. 2020

Источник: fstec

CVSS3: 8.1

CVSS2: 7.6

EPSS Низкий

Описание

Уязвимость операционной системы Synology Router Manager (SRM) связана с отсутствием флага «secure» в файлах cookie сеанса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к целевому устройству посредством перехвата файлов cookie сеанса в сетевом трафике

Вендор

Synology Inc.

Наименование ПО

Synology Router Manager (SRM)

Версия ПО

до 1.2.4-8081 (Synology Router Manager (SRM))

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Synology Inc. Synology Router Manager (SRM) до 1.2.4-8081

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://www.synology.com/ru-ru/security/advisory/Synology_SA_20_14

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-27651
CVE

EPSS

Процентиль: 55%

0.00325

Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

CVE-2020-27651

CVSS3: 5.8

nvd

больше 5 лет назад

Synology Router Manager (SRM) before 1.2.4-8081 does not set the Secure flag for the session cookie in an HTTPS session, which makes it easier for remote attackers to capture this cookie by intercepting its transmission within an HTTP session.

GHSA-mxhv-mc3x-7jmr

github

больше 3 лет назад