Origine : bjCSIRT
Numéro : 2025/ALERTE/027
Date de l’alerte : 20/03/2025
APERÇU :
Une vulnérabilité critique affectant les produits Synology permettrait à un acteur malveillant d’exécuter du code arbitraire à distance.
DESCRIPTION :
BeeStation Manager (BSM), DiskStation Manager (DSM) et Unified Controller (DSMUC) sont des solutions de gestion de stockage de Synology qui assurent l’administration, la centralisation, la sécurisation et la sauvegarde des données dans divers environnements.
Ces produits sont affectés par une vulnérabilité libellée CVE-2024-10441 qui résulte d’une mauvaise gestion de l’encodage ou de l’échappement des sorties dans le composant System Plugin Daemon. L’exploitation de cette vulnérabilité, permettrait à un acteur malveillant d’exécuter du code arbitraire à distance sur le système cible.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.8 selon le CVSS v3.1.
IMPACT :
- Atteinte à la confidentialité des données ;
- Compromission de l’intégrité du système ;
- Exécution de code à distance.
SYSTÈMES AFFECTÉS :
- Synology BeeStation Manager (BSM) versions antérieures à 1.1-65374 ;
- Synology DiskStation Manager (DSM) versions antérieures à 6.2.4-25556-8, 7.1.1-42962-7, 7.2-64570-4, 7.2.1-69057-6 et 7.2.2-72806-1 ;
- Synology Unified Controller (DSMUC) versions antérieures à 3.1.4-23079.
MESURES À PRENDRE :
Mettre à jour tous les produits Synology vers leurs dernières versions disponibles.
RÉFÉRENCES :
