Synology：速修复零点击RCE漏洞，影响数百万 NAS 设备

发布于2024年11月7日2025年7月19日作者:cve-20

Synology：速修复零点击RCE漏洞，影响数百万 NAS 设备

THN 代码卫士 2024-11-06 17:53

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Synology 已修复影响 DiskStation 和 BeePhotos 的一个严重漏洞，可导致远程代码执行后果，编号是CVE-2024-10443。

该漏洞由 Midnight Blue 团队的研究员 Rick de Jager在 Pwn2Own 爱尔兰大赛中发现，被命名为 “RISK:STATION”。

“RISK:STATION”是一个“未认证的零点击漏洞，可导致攻击者在热门 Synology DiskStation 和 BeeStation NAS 设备上获得root 级别权限，影响数百万台设备。”该漏洞的零点击性质意味着无需用户交互即可触发利用，因此可导致攻击者获得对设备的访问权限，窃取敏感数据并植入其它恶意软件。

受影响版本如下：

BeePhotos for BeeStation OS 1.0（更新到 1.0.2-10026 或以上版本）
BeePhotos for BeeStation OS 1.1（更新到 1.1.0-10053 或以上版本）
Synology Photos 1.6 for DSM 7.2（更新到 1.6.2-0720 或以上版本）
Synology Photos 1.7 for DSM 7.2（更新到 1.7.0-0795 或以上版本）

该漏洞详情尚未发布，以便用户及时更新。Midnight Blue 团队表示目前大约有一百万到两百万台设备同时受影响且被暴露到互联网。

QNAP修复3个严重漏洞

QNAP 此前也修复了在该大赛上找到的影响 QuRouter、SMB Service 和 HBS 3 Hybrid Backup Sync 的三个漏洞，如下：

CVE-2024-50389 – 在QuRouter 2.4.5.032及后续版本中修复。
CVE-2024-50387 – 在SMB Service 4.15.002 和 SMB Service h4.15.002及后续版本中修复。
CVE-2024-50388 – 在HBS 3 Hybrid Backup Sync 25.1.1.673及后续版本修复。

虽然尚未有证据表明如上漏洞已遭在野利用，但鉴于NAS设备在过去已成为勒索攻击的高价值目标，因此建议用户尽快应用这些补丁。

代码卫士试用地址：
https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

Synology DiskStation 管理器中存在管理员接管漏洞

Synology 修复严重的VPN路由器漏洞，CVSS评分10分

开源组件 Netatalk 存在多个严重漏洞，Synology 多款产品受影响

合勤紧急修复NAS设备中的RCE漏洞

QNAP提醒注意NAS设备中严重的认证绕过漏洞

原文链接

https://thehackernews.com/2024/11/synology-urges-patch-for-critical-zero.html

题图：
Pixabay
License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错，就点个 “
在看
” 或 “
赞
” 吧~