PT-2024-7608 · Synology · Synology Beephotos+1
Rick De Jager
·
Publicado
2024-10-25
·
Atualizado
2026-03-27
·
CVE-2024-10443
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Synology BeePhotos anteriores à 1.0.2-10026 e à 1.1.0-10053
Versões do Synology Photos anteriores à 1.6.2-0720 e à 1.7.0-0795
Descrição
O problema está relacionado à neutralização inadequada de elementos especiais usados em um comando, também conhecida como vulnerabilidade de “injeção de comando”, no componente Gerenciador de Tarefas. Isso permite que invasores remotos executem código arbitrário por meio de vetores não especificados. A vulnerabilidade está sendo ativamente explorada e afeta milhões de dispositivos NAS da Synology, permitindo a execução remota de código sem interação do usuário.
Recomendações
Para versões do Synology BeePhotos anteriores à 1.0.2-10026 e 1.1.0-10053, atualize para a versão 1.0.2-10026 ou 1.1.0-10053 ou posterior.
Para versões do Synology Photos anteriores à 1.6.2-0720 e 1.7.0-0795, atualize para a versão 1.6.2-0720 ou 1.7.0-0795 ou posterior.
Como solução temporária, considere desativar o componente Gerenciador de Tarefas até que um patch esteja disponível.
Restrinja o acesso ao componente Gerenciador de Tarefas para minimizar o risco de exploração.
Correção
RCE
Improper Privilege Management
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Synology Beephotos
Synology Photos