Synology سازنده تایوانی دستگاههای ذخیرهسازی متصل به شبکه (NAS)، یک آسیبپذیری حیاتی را برطرف کرد که بر DiskStation و BeePhotos تأثیر میگذارد و میتواند منجر به اجرای کد از راه دور (RCE) شود.
این نقص امنیتی با شناسه CVE-2024-10443 و امتیاز 7.5 و نام RISK:STATION شناخته میشود. RISK:STATION یک آسیبپذیری Zero–Click تأیید نشده است که به مهاجمان اجازه میدهد تا اجرای کد در سطح روت روی دستگاههای Synology DiskStation و BeeStation NAS را به دست آورند و میلیونها دستگاه را تحت تأثیر قرار دهند.
ماهیت Zero–Click این آسیبپذیری به این معنی است که نیازی به تعامل کاربر برای راهاندازی اکسپلویت ندارد، در نتیجه امکان سرقت دادههای حساس و نصب بدافزار اضافی با دسترسی به دستگاهها را برای مهاجمان فراهم میسازد. این نقص بر نسخههای زیر تأثیر میگذارد:
- BeePhotos برای BeeStation OS 1.0 (ارتقا به نسخه 1.0.2-10026 یا بالاتر)
- BeePhotos برای BeeStation OS 1.1 (ارتقا به نسخه 1.1.0-10053 یا بالاتر)
- Synology Photos 1.6 برای DSM 7.2 (ارتقا به نسخه 1.6.2-0720 یا بالاتر )
- Synology Photos 1.7 برای DSM 7.2 (ارتقا به نسخه 1.7.0-0795 یا بالاتر)
https://thehackernews.com/2024/11/synology-urges-patch-for-critical-zero.html