Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-02935

Опубликовано: 05 нояб. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость системного подключаемого модуля операционных систем Synology BeeStation Manager (BSM), Synology DiskStation Manager (DSM) и сервера корпоративного уровня Synology Unified Controller связана с недостатком механизма кодирования или экранирования выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Synology Inc.

Наименование ПО

BeeStation Manager (BSM)
DiskStation Manager (DSM)

Версия ПО

до 1.1-65374 (BeeStation Manager (BSM))
до 7.2.2-72806-1 (DiskStation Manager (DSM))
до 7.2.1-69057-6 (DiskStation Manager (DSM))
до 7.2-64570-4 (DiskStation Manager (DSM))
до 7.1.1-42962-7 (DiskStation Manager (DSM))
до 6.2.4-25556-8 (DiskStation Manager (DSM))
до 3.1.4-23079 (DiskStation Manager (DSM))

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Synology Inc. BeeStation Manager (BSM) до 1.1-65374
Synology Inc. DiskStation Manager (DSM) до 7.2.2-72806-1
Synology Inc. DiskStation Manager (DSM) до 7.2.1-69057-6
Synology Inc. DiskStation Manager (DSM) до 7.2-64570-4
Synology Inc. DiskStation Manager (DSM) до 7.1.1-42962-7
Synology Inc. DiskStation Manager (DSM) до 6.2.4-25556-8
Synology Inc. DiskStation Manager (DSM) до 3.1.4-23079

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к уязвимому программному обеспечению;
- сегментирование сети для ограничения доступа к веб-интерфейсу управления уязвимого устройства из других подсетей;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
https://www.synology.com/en-global/security/advisory/Synology_SA_24_20
https://www.synology.com/en-global/security/advisory/Synology_SA_24_23

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 68%
0.00565
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-10441

CVSS3: 9.8
nvd
11 месяцев назад

Improper encoding or escaping of output vulnerability in the system plugin daemon in Synology BeeStation OS (BSM) before 1.1-65374 and Synology DiskStation Manager (DSM) before 7.2-64570-4, 7.2.1-69057-6 and 7.2.2-72806-1 allows remote attackers to execute arbitrary code via unspecified vectors.

github логотип

GHSA-3hx6-3qqx-qhvf

CVSS3: 9.8
github
11 месяцев назад

Improper encoding or escaping of output vulnerability in the system plugin daemon in Synology BeeStation Manager (BSM) before 1.1-65374, Synology DiskStation Manager (DSM) before 6.2.4-25556-8, 7.1.1-42962-7, 7.2-64570-4, 7.2.1-69057-6 and 7.2.2-72806-1 and Synology Unified Controller (DSMUC) before 3.1.4-23079 allows remote attackers to execute arbitrary code via unspecified vectors.

EPSS

Процентиль: 68%
0.00565
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2