CRITICAL✓ PATCH🇬🇧 English

CVE-2024-11131

Out-of-bounds read w firmware kamer Synology umożliwia RCE

CVSS 9.8v3.1pub. 2025-03-19upd. 2026-01-16

W interfejsie wideo oprogramowania układowego kamer Synology (BC500, CC400W, TC500) wykryto podatność typu out-of-bounds read, która pozwala zdalnemu atakującemu na wykonanie dowolnego kodu. Podatność jest oceniona jako krytyczna z wynikiem CVSS 9.8, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

A vulnerability regarding out-of-bounds read is found in the video interface. This allows remote attackers to execute arbitrary code via unspecified vectors. The following models with Synology Camera Firmware versions before 1.2.0-0525 may be affected: BC500, CC400W and TC500.

🤖 Analiza AI
Jak działa

Błąd klasy out-of-bounds read (CWE-125) występuje w interfejsie wideo firmware kamer Synology. Atakujący zdalnie, przez sieć, może wysłać odpowiednio spreparowane żądania poprzez nieokreślone wektory, co prowadzi do odczytu danych spoza przydzielonego bufora pamięci. Nieprawidłowe przetwarzanie tych danych może zostać następnie wykorzystane do wykonania arbitralnego kodu na urządzeniu.

Skutki

Skuteczne wykorzystanie podatności pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu (RCE) na podatnej kamerze, co może skutkować pełnym przejęciem kontroli nad urządzeniem, naruszeniem poufności, integralności oraz dostępności systemu.

Mitygacja

Należy zaktualizować Synology Camera Firmware do wersji 1.2.0-0525 lub nowszej. Szczegółowe informacje i pliki aktualizacji dostępne są w oficjalnym biuletynie bezpieczeństwa Synology: https://www.synology.com/en-global/security/advisory/Synology_SA_24_24

Kogo dotyczy

Kamery Synology BC500, CC400W oraz TC500 z wersją Synology Camera Firmware wcześniejszą niż 1.2.0-0525.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Synology Bc500

    HW
    Synology
    wszystkie wersje
  • Synology Bc500 Firmware

    OS
    Synology
    < 1.2.0-0525
  • Synology Cc400w

    HW
    Synology
    wszystkie wersje
  • Synology Cc400w Firmware

    OS
    Synology
    < 1.2.0-0525
  • Synology Tc500

    HW
    Synology
    wszystkie wersje
  • Synology Tc500 Firmware

    OS
    Synology
    < 1.2.0-0525
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEMemory
CWE
Referencje

Powiązane podatności

CVE-2024-39349CRITICAL9.8PL ✓ten sam produkt

Buffer Overflow w firmware kamer Synology BC500/TC500 umożliwia RCE

CVE-2023-5746CRITICAL9.8ten sam produkt

A vulnerability regarding use of externally-controlled format string is found in the cgi component. This allow...

CVE-2023-47802HIGH7.2ten sam produkt

A vulnerability regarding improper neutralization of special elements used in an OS command ('OS Command Injec...

CVE-2024-39350HIGH7.5ten sam produkt

A vulnerability regarding authentication bypass by spoofing is found in the RTSP functionality. This allows ma...

CVE-2024-39351HIGH7.2ten sam produkt

A vulnerability regarding improper neutralization of special elements used in an OS command ('OS Command Injec...