PT-2024-22832 · Synology · Synology Surveillance Station
Team.Envy
·
Publicado
2024-03-27
·
Atualizado
2025-01-14
·
CVE-2024-29236
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Synology Surveillance Station anteriores à 9.2.0-9289
Versões do Synology Surveillance Station anteriores à 9.2.0-11289
Descrição
O problema está relacionado a uma neutralização inadequada de elementos especiais usados em um comando SQL, também conhecido como “injeção de SQL”, no componente webapi AudioPattern.Delete. Isso permite que usuários remotos autenticados injetem comandos SQL por meio de vetores não especificados.
Recomendações
Para versões anteriores à 9.2.0-9289, atualize para a versão 9.2.0-9289 ou posterior.
Para versões anteriores à 9.2.0-11289, atualize para a versão 9.2.0-11289 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao componente webapi AudioPattern.Delete até que um patch seja aplicado.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Synology Surveillance Station