Cq674350529

**Nome do software vulnerável e versões afetadas** Versões do Synology Presto File Server anteriores à 2.1.2-1601 **Descrição** O problema está relacionado ao gerenciamento inadequado de privilégios no gerenciamento de relatórios resumidos do Synology Presto File Server. Isso permite que usuários remotos autenticados contornem as restrições de segurança. **Recomendações** Para versões anteriores à 2.1.2-1601, atualize para a versão 2.1.2-1601 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Synology Presto File Server anteriores à 2.1.2-1601 **Descrição** O problema está relacionado à limitação inadequada de um caminho de arquivo para um diretório restrito, também conhecido como “Path Traversal”, no gerenciamento de operações de arquivos. Isso permite que invasores remotos gravem arquivos arbitrários por meio de vetores não especificados. **Recomendações** Para versões anteriores à 2.1.2-1601, atualize para a versão 2.1.2-1601 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Synology DiskStation Manager (DSM) anteriores à 7.1-42661 **Descrição** O problema diz respeito à ausência de um mecanismo de autenticação para uma função crítica na funcionalidade de gerenciamento iSCSI. Isso permite que invasores remotos leiam ou gravem arquivos arbitrários por meio de vetores não especificados. **Recomendações** Para versões anteriores à 7.1-42661, atualize para a versão 7.1-42661 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Synology DiskStation Manager (DSM) anteriores à 7.1-42661 **Descrição** Uma vulnerabilidade do tipo Server-Side Request Forgery (SSRF) na funcionalidade do Package Center permite que usuários remotos autenticados acessem recursos da intranet por meio de vetores não especificados. Isso pode potencialmente levar ao acesso não autorizado a recursos internos. **Recomendações** Para versões anteriores à 7.1-42661, atualize para a versão 7.1-42661 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade do Package Center para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Software Cisco IOS XR (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na implementação do Cisco Discovery Protocol poderia permitir que um invasor não autenticado e adjacente provocasse a reinicialização do processo do Cisco Discovery Protocol em um dispositivo afetado. Esse problema se deve a um estouro de buffer de heap em determinadas mensagens do Cisco Discovery Protocol. Um invasor poderia explorar essa vulnerabilidade enviando um pacote malicioso do Cisco Discovery Protocol para um dispositivo afetado, potencialmente causando um estouro de heap e levando à reinicialização do processo do Cisco Discovery Protocol. Os bytes que podem ser gravados no estouro de buffer são restritos, limitando a execução remota de código. Observe que o Cisco Discovery Protocol é um protocolo de Camada 2 e, para explorar essa vulnerabilidade, um invasor deve estar no mesmo domínio de broadcast que o dispositivo afetado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Synology DiskStation Manager (DSM) anteriores à 7.0.1-42218-3 **Descrição** O problema está relacionado à neutralização inadequada de elementos especiais utilizados em um comando do sistema operacional, também conhecida como “injeção de comando no sistema operacional”. Isso permite que usuários remotos autenticados executem comandos arbitrários por meio de vetores não especificados. O componente webapi no Synology DiskStation Manager (DSM) está afetado. **Recomendações** Para versões anteriores à 7.0.1-42218-3, atualize para a versão 7.0.1-42218-3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao componente webapi para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Synology Calendar anteriores à 2.3.4-0631 **Descrição** O problema está relacionado a uma limitação inadequada do caminho de acesso a um diretório restrito, também conhecida como vulnerabilidade de “traversal de caminho”, no componente webapi. Isso permite que usuários remotos autenticados baixem arquivos arbitrários por meio de vetores não especificados. **Recomendações** Para versões anteriores à 2.3.4-0631, atualize para a versão 2.3.4-0631 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao componente webapi para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Synology USB Copy anteriores à 2.2.0-1086 **Descrição** O problema está relacionado a uma vulnerabilidade de traversal de caminho no componente webapi, permitindo que usuários remotos autenticados leiam ou gravem arquivos arbitrários por meio de vetores não especificados. **Recomendações** Para versões anteriores à 2.2.0-1086, atualize para a versão 2.2.0-1086 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente webapi para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Synology SSO Server anteriores à 2.2.3-0331 **Descrição** O problema está relacionado a uma vulnerabilidade de traversal de caminho no componente webapi, permitindo que usuários autenticados remotamente leiam arquivos arbitrários por meio de vetores não especificados. **Recomendações** Para versões anteriores à 2.2.3-0331, atualize para a versão 2.2.3-0331 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Synology Note Station Client anteriores à 2.2.2-609 **Descrição** O problema diz respeito a uma vulnerabilidade relacionada à transmissão de informações confidenciais em texto simples no gerenciamento de autenticação. Isso permite que invasores do tipo “man-in-the-middle” obtenham informações confidenciais por meio de vetores não especificados. **Recomendações** Para versões anteriores à 2.2.2-609, atualize para a versão 2.2.2-609 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a informações confidenciais e minimizar o uso de conexões não seguras até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Synology Storage Analyzer anteriores à 2.1.0-0390 **Descrição** O problema está relacionado a uma vulnerabilidade de traversal de caminho no componente webapi, permitindo que usuários remotos autenticados excluam arquivos arbitrários por meio de vetores não especificados. **Recomendações** Para versões anteriores à 2.1.0-0390, atualize para a versão 2.1.0-0390 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Synology WebDAV Server anteriores à 2.4.0-0062 **Descrição** O problema está relacionado a uma limitação inadequada do nome do caminho para um diretório restrito, também conhecida como vulnerabilidade de “traversal de caminho”, no componente webapi. Isso permite que usuários remotos autenticados excluam arquivos arbitrários por meio de vetores não especificados. **Recomendações** Para versões anteriores à 2.4.0-0062, atualize para a versão 2.4.0-0062 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao componente webapi para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Synology Media Server anteriores à 1.8.1-2876 **Descrição** O problema está relacionado a uma cópia de buffer sem verificação do tamanho da entrada, também conhecida como vulnerabilidade de “estouro de buffer clássico”, no componente cgi. Isso permite que invasores remotos executem código arbitrário por meio de vetores não especificados. **Recomendações** Para versões do Synology Media Server anteriores à 1.8.1-2876, atualize para a versão 1.8.1-2876 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao componente cgi até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Synology Audio Station anteriores à 6.5.4-3367 **Descrição** O problema está relacionado a uma limitação inadequada do nome do caminho para um diretório restrito, também conhecida como vulnerabilidade de “traversal de caminho”, no componente webapi. Isso permite que usuários remotos autenticados excluam arquivos arbitrários por meio de vetores não especificados. **Recomendações** Para versões anteriores à 6.5.4-3367, atualize para a versão 6.5.4-3367 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao componente webapi para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Synology Audio Station anteriores à 6.5.4-3367 **Descrição** O problema está relacionado a uma cópia de buffer sem verificação do tamanho da entrada, também conhecida como vulnerabilidade de “estouro de buffer clássico”, no componente cgi. Isso permite que invasores remotos executem comandos arbitrários por meio de vetores não especificados. **Recomendações** Para versões anteriores à 6.5.4-3367, atualize para a versão 6.5.4-3367 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao componente cgi no Synology Audio Station até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Synology CardDAV Server anteriores à 6.0.10-0153 **Descrição** O problema está relacionado à neutralização inadequada de elementos especiais utilizados em um comando SQL, permitindo que usuários remotos autenticados injetem comandos SQL por meio de vetores não especificados. Trata-se de uma vulnerabilidade de injeção de SQL no componente webapi. **Recomendações** Para versões anteriores à 6.0.10-0153, atualize para a versão 6.0.10-0153 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao componente webapi para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Synology DNS Server anteriores à 2.2.2-5027 **Descrição** O problema está relacionado a uma vulnerabilidade de traversal de caminho no componente cgi, permitindo que usuários remotos autenticados excluam arquivos arbitrários. **Recomendações** Para versões anteriores à 2.2.2-5027, atualize para a versão 2.2.2-5027 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Synology DiskStation Manager (DSM) anteriores à 6.2.3-25423 **Descrição** O problema está relacionado a uma vulnerabilidade de traversal de caminho no componente webapi. Isso permite que usuários remotos autenticados excluam arquivos arbitrários. **Recomendações** Para versões anteriores à 6.2.3-25423, atualize para a versão 6.2.3-25423 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Synology Calendar anteriores à 2.3.4-0631 **Descrição** Uma vulnerabilidade do tipo Cross-Site Request Forgery (CSRF) no componente webapi permite que usuários remotos autenticados sequestrem a autenticação de administradores por meio de vetores não especificados. Isso pode levar à realização de ações não autorizadas em nome dos administradores. **Recomendações** Para versões anteriores à 2.3.4-0631, atualize para a versão 2.3.4-0631 ou posterior para resolver o problema. Como solução temporária, considere implementar verificações de autenticação adicionais ou restrições no componente webapi para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Mikrotik RouterOS anteriores à 6.48.2 **Descrição** O problema é uma vulnerabilidade de corrupção de memória no processo ptp. Um invasor remoto autenticado pode causar uma negação de serviço (desreferência de ponteiro NULL). **Recomendações** Para versões anteriores à 6.48.2, atualize para a versão estável 6.48.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao processo ptp para minimizar o risco de exploração.