2021 年 5 月 27 日,HITB 2021(阿姆斯特丹)会议上分享了 Synology NAS 的多个漏洞,Synology Calendar、Media Server、Audio Station 等套件中的漏洞可通过 Web 服务入口远程利用。Audio Station 套件的漏洞成因为audiotransfer.cgi存在缓冲区溢出,远程攻击者可构造特殊数据包,然后利用该漏洞以 root 权限在目标设备执行...
NAS设备制造商群晖(Synology)已经解决了影响DiskStation和BeePhotos的一个可能导致远程代码执行的关键安全漏洞。 这个零日漏洞被追踪为CVE-2024-10443,并被Midnight Blue称为RISK:STATION,由安全研究员Rick de Jager在Pwn2Own Ireland 2024黑客大赛上展示。 RISK:STATION是一个 “未经验证的零点击漏洞,允许攻击者在流行的...
“在广泛部署的存储系统中存在如此严重的漏洞这一事实,应提醒各机构在产品开发过程中始终将安全放在首位。” 鉴于CVE-2024-10441 的严重性和可远程利用性,使用Synology 网络附加存储(NAS)设备的机构和个人应将此更新视为紧急补丁。 暴露且未打补丁的系统可能会因自动扫描和攻击尝试而遭到入侵。 Synology 最初于 2024...
台湾网络连接存储(NAS)设备制造商Synology已经解决了影响DiskStation和BeePhotos的严重安全缺陷,该缺陷可能导致远程代码执行。 此零日漏洞被追踪为CVE-2024-10443,并由Midnight Blue团队命名为“RISK:STATION”。在安全研究员Rick de Jager于Pwn2Own Ireland 2024黑客大赛上的演示中,该漏洞得以曝光。 Midnight Blue团队表示,...
台湾网络连接存储(NAS)设备制造商Synology已经解决了影响DiskStation和BeePhotos的严重安全缺陷,该缺陷可能导致远程代码执行。 此零日漏洞被追踪为CVE-2024-10443,并由Midnight Blue团队命名为“RISK:STATION”。在安全研究员Rick de Jager于Pwn2Own Ireland 2024黑客大赛上的演示中,该漏洞得以曝光。
OpenSSL RCE 漏洞影响多个Synology产品。 中国台湾NAS厂商Synology近日公开了影响其产品的2个远程代码执行漏洞和DoS OpenSSL漏洞,CVE编号为CVE-2021-3711和CVE-2021-3712。 CVE-2021-3711 为解密SM2加密的数据,应用需要调用API函数EVP_PKEY_decrypt()。一般来说,应用会调用该函数两次。第一次,函数的out 参数为NULL,退...
在 Apache HTTP Server 2.4.52 及更早版本中发现的漏洞可用于执行不需要受害者交互的低复杂度攻击。QNAP 警告 NAS 所有者应用已知的缓解措施,建议他们保留 LimitXMLRequestBody 的默认值“1M”,并禁用 mod_sed,因为这两件事有效地堵住了漏洞。QNAP 还表示,在运行 QTS 操作系统的 NAS 设备上,Apache HTTP ...
每天都会出现数千个安全漏洞,从而严重损害财务、声誉甚至是情绪。我们会继续开发强大且复杂的安全解决方案,以保护存储在 NAS 上的数据。
【Synology:速修复零点击RCE漏洞,影响数百万 NAS 设备】Synology 已修复影响 DiskStation 和 BeePhotos 的一个严重漏洞,可导致远程代码执行后果,编号是CVE-2024-10443。该漏洞由 Midnight Blue 团队的研究员 Rick de Jager在 Pwn2Own 爱尔兰大赛中发现,被命名为 “RISK:STATION”。
据媒体报道,近日总部位于台湾的NAS制造商Synology解决了VPN服务器运行中的严重漏洞,该漏洞被跟踪为CVE-2022-43931,在VPN Plus Server软件内部发现,其最高CVSS3基本分数为10。据了解,该漏洞可以在低复杂性攻击中被利用,而无需目标路由器权限或用户交互。目前,Synology已发布安全更新以修补该漏洞,并建议客户将VPN Plus...