-
09/04/2020
-
85
-
553 bài viết
Synology phát hành bản vá cho các lỗ hổng nghiêm trọng trong phần mềm Surveillance Station
Công ty Synology vừa giải quyết các lỗ hổng nghiêm trọng trong các phiên bản phần mềm Surveillance Station DSM 7.2, DSM 7.1 và DSM 6.2 có thể gây ra việc mất dữ liệu, mất kiểm soát hệ thống và gián đoạn dịch vụ quan trọng.
Đáng chú ý là CVE-2024-29241 với điểm CVSS là 9,9 được đánh giá mức độ nghiêm trọng. Lỗ hổng này xảy ra do thiếu xác thực trong thành phần System webapi, có thể cho phép người dùng chưa được ủy quyền hoàn toàn vượt qua các giải pháp bảo mật. Điều này có thể dẫn đến việc người dùng trái phép truy cập vào hệ thống mà không cần xác thực đúng.
Ngoài ra, hai lỗ hổng có mã CVE-2024-29228 và CVE-2024-29229 đều có điểm CVSS là 7,7, liên quan đến việc thiếu xác thực trong các thành phần webapi GetStmUrlPath và GetLiveViewPath của phần mềm Surveillance Station.
Hai lỗ hổng trên có thể cho phép người dùng chưa được ủy quyền từ xa truy cập vào thông tin nhạy cảm thông qua các vector không xác định. Điều này có nghĩa là kẻ tấn công có thể xâm nhập hệ thống và truy cập vào dữ liệu quan trọng mà không cần xác thực đúng.
Bên cạnh đó, một loạt các lỗ hổng SQL Injection đều có CVSS là 5,4 đã được xác định trong các thành phần khác nhau, bao gồm Layout.LayoutSave, SnapShot.CountByCategory và Alert.Enum, và nhiều thành phần khác. Những lỗ hổng này khiến hệ thống dễ bị tấn công SQL command injection từ người dùng từ xa đã được xác thực, bằng cách lợi dụng việc không loại bỏ đúng các thành phần đặc biệt trong lệnh SQL.
Synology đã phát hành các bản vá (Surveillance Station 9.2.0-11289 trở lên) và khuyến cáo người dùng cập nhật ngay lập tức để tăng cường bảo mật tổng thể giảm thiểu rủi ro bảo về an ninh mạng.
Đáng chú ý là CVE-2024-29241 với điểm CVSS là 9,9 được đánh giá mức độ nghiêm trọng. Lỗ hổng này xảy ra do thiếu xác thực trong thành phần System webapi, có thể cho phép người dùng chưa được ủy quyền hoàn toàn vượt qua các giải pháp bảo mật. Điều này có thể dẫn đến việc người dùng trái phép truy cập vào hệ thống mà không cần xác thực đúng.
Ngoài ra, hai lỗ hổng có mã CVE-2024-29228 và CVE-2024-29229 đều có điểm CVSS là 7,7, liên quan đến việc thiếu xác thực trong các thành phần webapi GetStmUrlPath và GetLiveViewPath của phần mềm Surveillance Station.
Hai lỗ hổng trên có thể cho phép người dùng chưa được ủy quyền từ xa truy cập vào thông tin nhạy cảm thông qua các vector không xác định. Điều này có nghĩa là kẻ tấn công có thể xâm nhập hệ thống và truy cập vào dữ liệu quan trọng mà không cần xác thực đúng.
Bên cạnh đó, một loạt các lỗ hổng SQL Injection đều có CVSS là 5,4 đã được xác định trong các thành phần khác nhau, bao gồm Layout.LayoutSave, SnapShot.CountByCategory và Alert.Enum, và nhiều thành phần khác. Những lỗ hổng này khiến hệ thống dễ bị tấn công SQL command injection từ người dùng từ xa đã được xác thực, bằng cách lợi dụng việc không loại bỏ đúng các thành phần đặc biệt trong lệnh SQL.
Synology đã phát hành các bản vá (Surveillance Station 9.2.0-11289 trở lên) và khuyến cáo người dùng cập nhật ngay lập tức để tăng cường bảo mật tổng thể giảm thiểu rủi ro bảo về an ninh mạng.
Theo Security Online
Chỉnh sửa lần cuối: