CRITICAL✓ PATCH🇬🇧 English

CVE-2024-29241

Brak autoryzacji w Synology Surveillance Station — zapis konfiguracji i restart NAS

CVSS 9.9v3.1pub. 2024-03-28upd. 2025-08-12

Podatność braku autoryzacji (missing authorization) w komponencie System webapi aplikacji Synology Surveillance Station umożliwia zalogowanym zdalnym użytkownikom wykonywanie nieuprawnionych operacji administracyjnych. Ze względu na ocenę CVSS 9.9 (CRITICAL) i możliwość wpływu na integralność oraz dostępność systemu NAS, podatność stanowi poważne zagrożenie.

Pokaż oryginał (EN)

Missing authorization vulnerability in System webapi component in Synology Surveillance Station before 9.2.0-9289 and 9.2.0-11289 allows remote authenticated users to obtain non-sensitive information, write sensitive configurations in DSM, and reboot or shutdown NAS via unspecified vectors.

🤖 Analiza AI
Jak działa

Komponent System webapi w Synology Surveillance Station nie wymusza prawidłowej weryfikacji uprawnień przed realizacją określonych żądań. Uwierzytelniony użytkownik zdalny, nieposiadający odpowiednich uprawnień administracyjnych, może wysyłać żądania do podatnego API bez dodatkowej autoryzacji. W efekcie możliwe jest zapisywanie wrażliwych konfiguracji w systemie DSM (DiskStation Manager) oraz inicjowanie restartu lub wyłączenia urządzenia NAS.

Skutki

Atakujący posiadający dowolne konto użytkownika może nadpisywać wrażliwe ustawienia konfiguracyjne DSM, wymuszać restart lub wyłączenie urządzenia NAS, a także odczytywać nieokreślone informacje systemowe. Działania te mogą prowadzić do zakłócenia dostępności usług oraz naruszenia integralności systemu.

Mitygacja

Należy zaktualizować Synology Surveillance Station do wersji 9.2.0-9289 lub 9.2.0-11289 (albo nowszej), zgodnie z zaleceniami producenta opisanymi w biuletynie Synology_SA_24_04 dostępnym pod adresem https://www.synology.com/en-global/security/advisory/Synology_SA_24_04.

Kogo dotyczy

Synology Surveillance Station w wersjach przed 9.2.0-9289 oraz przed 9.2.0-11289, działający na Synology DiskStation Manager (DSM).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:H
  • Synology Diskstation Manager

    OS
    Synology
    6.27.17.2
  • Synology Surveillance Station

    APP
    Synology
    < 9.2.0-9289< 9.2.0-11289
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2024-45538CRITICAL9.6PL ✓ten sam produkt

CSRF umożliwiający RCE w Synology DiskStation Manager i Unified Controller

CVE-2024-10442CRITICAL10.0PL ✓ten sam produkt

RCE przez błąd off-by-one w komponencie transmisji Synology Replication Service

CVE-2024-10441CRITICAL9.8PL ✓ten sam produkt

RCE w Synology BeeStation OS i DSM — błąd kodowania wyjścia w systemowym daemonie

CVE-2024-10443CRITICAL9.8PL ✓ten sam produkt

OS Command Injection w Synology BeePhotos i Synology Photos — RCE bez uwierzytelnienia

CVE-2022-27625CRITICAL10.0ten sam produkt

A vulnerability regarding improper restriction of operations within the bounds of a memory buffer is found in ...