CRITICAL✓ PATCH🇬🇧 English

CVE-2024-45538

CSRF umożliwiający RCE w Synology DiskStation Manager i Unified Controller

CVSS 9.6v3.1pub. 2025-12-04upd. 2025-12-05

Podatność Cross-Site Request Forgery (CSRF) w module WebAPI Framework systemów Synology DiskStation Manager (DSM) oraz Synology Unified Controller (DSMUC) umożliwia zdalnemu atakującemu wykonanie dowolnego kodu na urządzeniu. Wysoki wynik CVSS 9.6 i kategoria CRITICAL wskazują na poważne zagrożenie dla integralności, poufności i dostępności systemu.

Pokaż oryginał (EN)

Cross-Site Request Forgery (CSRF) vulnerability in WebAPI Framework in Synology DiskStation Manager (DSM) before 7.2.1-69057-2 and 7.2.2-72806 and Synology Unified Controller (DSMUC) before 3.1.4-23079 allows remote attackers to execute arbitrary code via unspecified vectors.

🤖 Analiza AI
Jak działa

Atakujący wykorzystuje mechanizm CSRF, zmuszając zalogowanego użytkownika do nieświadomego wykonania spreparowanego żądania do interfejsu WebAPI Framework urządzenia Synology. Żądanie jest realizowane w kontekście sesji ofiary, co pozwala na ominięcie standardowej autoryzacji. W efekcie aplikacja przetwarza złośliwe żądanie jako legalne, co prowadzi do wykonania dowolnego kodu na urządzeniu (RCE). Atak nie wymaga uprawnień po stronie atakującego, lecz wymaga interakcji ze strony uwierzytelnionego użytkownika (np. kliknięcia w spreparowany link).

Skutki

Atakujący może wykonać dowolny kod na podatnym urządzeniu, co prowadzi do pełnego przejęcia kontroli nad systemem, w tym naruszenia poufności i integralności danych oraz utraty dostępności usługi NAS.

Mitygacja

Należy zaktualizować Synology DiskStation Manager do wersji 7.2.1-69057-2 lub nowszej w gałęzi 7.2.1, do wersji 7.2.2-72806 lub nowszej w gałęzi 7.2.2, a Synology Unified Controller (DSMUC) do wersji 3.1.4-23079 lub nowszej. Szczegóły dostępne w oficjalnym biuletynie bezpieczeństwa Synology SA-24-27.

Kogo dotyczy

Synology DiskStation Manager (DSM) w wersjach wcześniejszych niż 7.2.1-69057-2 oraz 7.2.2-72806; Synology Unified Controller (DSMUC) w wersjach wcześniejszych niż 3.1.4-23079.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Synology Diskstation Manager

    OS
    Synology
    7.2.1-69057 – 7.2.1-69057-2 (bez)7.2.2-72803 – 7.2.2-72806 (bez)
  • Synology Diskstation Manager Unified Controller

    OS
    Synology
    3.1-23028 – 3.1.4-23079 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-10441CRITICAL9.8PL ✓ten sam produkt

RCE w Synology BeeStation OS i DSM — błąd kodowania wyjścia w systemowym daemonie

CVE-2024-10442CRITICAL10.0PL ✓ten sam produkt

RCE przez błąd off-by-one w komponencie transmisji Synology Replication Service

CVE-2024-10443CRITICAL9.8PL ✓ten sam produkt

OS Command Injection w Synology BeePhotos i Synology Photos — RCE bez uwierzytelnienia

CVE-2024-29241CRITICAL9.9PL ✓ten sam produkt

Brak autoryzacji w Synology Surveillance Station — zapis konfiguracji i restart NAS

CVE-2022-27625CRITICAL10.0ten sam produkt

A vulnerability regarding improper restriction of operations within the bounds of a memory buffer is found in ...