Sintesi

Aggiornamenti di sicurezza sanano alcune vulnerabilità, di cui una con gravità “critica”, presenti nei prodotti Surveillance Station e Surveillance Station Client.

Tipologia

• Arbitrary Code Execution
• Denial of Service
• Privilege Escalation
• Information Disclosure
• Security Restrictions Bypass

Prodotti e versioni affette

Surveillance Station

• DSM 7.2, versioni precedenti alla 9.2.0-11289
• DSM 7.1, versioni precedenti alla 9.2.0-11289
• DSM 6.2, versioni precedenti alla 9.2.0-9289

Synology Surveillance Station Client, versioni precedenti alla 2.2.0-2507

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili come indicato nel bollettino di sicurezza riportato nella sezione Riferimenti.

Indicatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta” e “critica”:

CVE-2024-29228

CVE-2024-29229

CVE-2024-29241

Riferimenti

https://www.synology.com/fr-fr/security/advisory/Synology_SA_24_04

https://www.synology.com/fr-fr/security/advisory/Synology_SA_24_05

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.