CRITICAL✓ PATCH🇬🇧 English

CVE-2024-10441

RCE w Synology BeeStation OS i DSM — błąd kodowania wyjścia w systemowym daemonie

CVSS 9.8v3.1pub. 2025-03-19upd. 2025-11-17

Podatność nieprawidłowego kodowania lub escapowania danych wyjściowych w daemonie systemowego pluginu Synology BeeStation OS (BSM) oraz DiskStation Manager (DSM) umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia. Krytyczny wynik CVSS 9.8 wskazuje na bardzo wysokie ryzyko dla wszystkich podatnych urządzeń dostępnych z sieci.

Pokaż oryginał (EN)

Improper encoding or escaping of output vulnerability in the system plugin daemon in Synology BeeStation OS (BSM) before 1.1-65374 and Synology DiskStation Manager (DSM) before 7.2-64570-4, 7.2.1-69057-6 and 7.2.2-72806-1 allows remote attackers to execute arbitrary code via unspecified vectors.

🤖 Analiza AI
Jak działa

Błąd klasy CWE-116 polega na nieprawidłowym kodowaniu lub escapowaniu danych wyjściowych w daemonie systemowego pluginu. Atakujący może dostarczyć specjalnie spreparowane dane przez sieć, które — wobec braku właściwej sanityzacji — są następnie interpretowane i wykonywane przez system w niezamierzony sposób. Wektor ataku jest sieciowy (AV:N), nie wymaga żadnych uprawnień (PR:N) ani interakcji użytkownika (UI:N), co czyni podatność szczególnie niebezpieczną.

Skutki

Skuteczne wykorzystanie podatności pozwala zdalnemu atakującemu na wykonanie dowolnego kodu (RCE) na podatnym urządzeniu, potencjalnie przejmując nad nim pełną kontrolę, uzyskując dostęp do przechowywanych danych lub modyfikując konfigurację systemu.

Mitygacja

Należy niezwłocznie zaktualizować Synology BeeStation OS (BSM) do wersji 1.1-65374 lub nowszej oraz Synology DiskStation Manager (DSM) do wersji 7.2-64570-4, 7.2.1-69057-6 lub 7.2.2-72806-1 (w zależności od używanej gałęzi). Szczegółowe informacje dostępne są w poradnikach bezpieczeństwa producenta: Synology_SA_24_20 i Synology_SA_24_23.

Kogo dotyczy

Synology BeeStation OS (BSM) w wersjach przed 1.1-65374 oraz Synology DiskStation Manager (DSM) w wersjach przed 7.2-64570-4, 7.2.1-69057-6 i 7.2.2-72806-1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Synology Beestation Os

    OS
    Synology
    1.01.0.11.0.21.1
  • Synology Diskstation Manager

    OS
    Synology
    7.2 – 7.2-64570-4 (bez)7.2.1-69057 – 7.2.1-69057-6 (bez)7.2.2 – 7.2.2-72806-1 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-12686CRITICAL9.8PL ✓ten sam produkt

Classic Buffer Overflow w Synology BeeStation OS — zdalne wykonanie kodu

CVE-2024-45538CRITICAL9.6PL ✓ten sam produkt

CSRF umożliwiający RCE w Synology DiskStation Manager i Unified Controller

CVE-2024-10442CRITICAL10.0PL ✓ten sam produkt

RCE przez błąd off-by-one w komponencie transmisji Synology Replication Service

CVE-2024-10443CRITICAL9.8PL ✓ten sam produkt

OS Command Injection w Synology BeePhotos i Synology Photos — RCE bez uwierzytelnienia

CVE-2024-29241CRITICAL9.9PL ✓ten sam produkt

Brak autoryzacji w Synology Surveillance Station — zapis konfiguracji i restart NAS

CVE-2024-10441 — RCE w Synology BeeStation OS i DSM — błąd kodowania wyjścia w systemowym daemonie — CRITICAL 9.8 | CVEbaza.pl