Múltiples vulnerabilidades en SSL VPN Client de Synology
Cliente VPN SSL de Synology, en las versiones anteriores a 1.4.5-0684.
Laurent Sibilla ha informado de 2 vulnerabilidades, 1 alta y 1 media que, en caso de ser explotadas, podrían permitir a un atacante en remoto acceder a archivos confidenciales y obtener o manipular el código PIN en el cliente SSL VPN.
Se recomienda encarecidamente actualizar a la versión 1.4.5-0684 o posteriores.
La vulnerabilidad de severidad alta se debe a que en el cliente Synology SSL VPN se almacenan las contraseñas en texto plano (sin cifrar), lo cual podría permitir a atacantes remotos acceder o modificar el PIN del usuario. Esto podría provocar, a su vez, que los atacantes cambien la configuración de la VPN de forma no autorizada o intercepten el tráfico VPN al combinarse con la interacción del usuario.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2021-47961 | Alta | No | Synology |
| CVE-2021-47960 | Media | No | Synology |
