CRITICAL✓ PATCH🇬🇧 English

CVE-2024-10443

OS Command Injection w Synology BeePhotos i Synology Photos — RCE bez uwierzytelnienia

CVSS 9.8v3.1pub. 2024-11-15upd. 2025-09-16

Krytyczna podatność typu OS command injection w komponencie Task Manager aplikacji Synology BeePhotos oraz Synology Photos umożliwia zdalnym atakującym wykonanie dowolnego kodu bez konieczności uwierzytelnienia. Zagrożenie oceniono na CVSS 9.8, co wskazuje na bardzo wysokie ryzyko dla użytkowników podatnych wersji.

Pokaż oryginał (EN)

Improper neutralization of special elements used in an OS command ('OS Command Injection') vulnerability in Task Manager component in Synology BeePhotos before 1.0.2-10026 and 1.1.0-10053 and Synology Photos before 1.6.2-0720 and 1.7.0-0795 allows remote attackers to execute arbitrary code via unspecified vectors.

🤖 Analiza AI
Jak działa

Podatność wynika z niewłaściwej neutralizacji znaków specjalnych w poleceniach systemu operacyjnego (CWE-78, CWE-77) w komponencie Task Manager. Atakujący może za pośrednictwem sieci, bez żadnego uwierzytelnienia i bez interakcji użytkownika, przesłać spreparowane dane wejściowe, które zostaną przekazane bezpośrednio do powłoki systemowej. W efekcie możliwe jest wykonanie dowolnych poleceń na poziomie systemu operacyjnego urządzenia.

Skutki

Atakujący może przejąć pełną kontrolę nad urządzeniem, uzyskując poufność, integralność i dostępność systemu — w tym możliwość odczytu i modyfikacji danych, instalacji złośliwego oprogramowania oraz zakłócenia działania usług.

Mitygacja

Należy niezwłocznie zaktualizować Synology BeePhotos do wersji 1.0.2-10026 lub 1.1.0-10053 (i nowszych) oraz Synology Photos do wersji 1.6.2-0720 lub 1.7.0-0795 (i nowszych). Szczegółowe informacje dostępne w biuletynach bezpieczeństwa producenta: Synology_SA_24_18 oraz Synology_SA_24_19.

Kogo dotyczy

Synology BeePhotos w wersjach przed 1.0.2-10026 oraz przed 1.1.0-10053; Synology Photos w wersjach przed 1.6.2-0720 oraz przed 1.7.0-0795.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Synology Beephotos

    APP
    Synology
    < 1.1.0-10053< 1.0.2-10026
  • Synology Beestation Os

    OS
    Synology
    1.01.1
  • Synology Diskstation Manager

    OS
    Synology
    7.27.2.2
  • Synology Photos

    APP
    Synology
    < 1.7.0-0795< 1.6.2-0720
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCECommand Injection
CWE
Referencje

Powiązane podatności

CVE-2025-12686CRITICAL9.8PL ✓ten sam produkt

Classic Buffer Overflow w Synology BeeStation OS — zdalne wykonanie kodu

CVE-2024-45538CRITICAL9.6PL ✓ten sam produkt

CSRF umożliwiający RCE w Synology DiskStation Manager i Unified Controller

CVE-2024-10441CRITICAL9.8PL ✓ten sam produkt

RCE w Synology BeeStation OS i DSM — błąd kodowania wyjścia w systemowym daemonie

CVE-2024-10442CRITICAL10.0PL ✓ten sam produkt

RCE przez błąd off-by-one w komponencie transmisji Synology Replication Service

CVE-2024-29241CRITICAL9.9PL ✓ten sam produkt

Brak autoryzacji w Synology Surveillance Station — zapis konfiguracji i restart NAS