CVE-2024-10441

Nome do Software Vulnerável e Versões Afetadas Synology BeeStation Manager (BSM) versões anteriores a 1.1-65374 Synology DiskStation Manager (DSM) versões anteriores a 6.2.4-25556-8, 7.1.1-42962-7, 7.2-64570-4, 7.2.1-69057-6 e 7.2.2-72806-1 Synology Unified Controller (DSMUC) versões anteriores a 3.1.4-23079

Descrição Existe um problema no daemon de plugin do sistema do Synology BeeStation Manager (BSM), Synology DiskStation Manager (DSM) e Synology Unified Controller (DSMUC) devido à codificação ou escape de saída inadequados. Isso pode permitir que um atacante remoto execute código arbitrário. A vulnerabilidade foi descoberta durante a competição Pwn2Own e está associada a uma classificação de severidade crítica. A exploração deste problema foi observada em ataques direcionados à infraestrutura da TrustWallet, onde um NAS Synology comprometido executando uma versão vulnerável do DSM foi identificado. A causa raiz está relacionada à neutralização inadequada de delimitadores de argumentos no Vue.JS.

Recomendações Atualize o Synology BeeStation Manager para a versão 1.1-65374 ou posterior. Atualize o Synology DiskStation Manager para a versão 6.2.4-25556-8 ou posterior. Atualize o Synology DiskStation Manager para a versão 7.1.1-42962-7 ou posterior. Atualize o Synology DiskStation Manager para a versão 7.2-64570-4 ou posterior. Atualize o Synology DiskStation Manager para a versão 7.2.1-69057-6 ou posterior. Atualize o Synology DiskStation Manager para a versão 7.2.2-72806-1 ou posterior. Atualize o Synology Unified Controller para a versão 3.1.4-23079 ou posterior.