Múltiples vulnerabilidades en varios productos de Synology

Fecha de publicación 12/04/2021
Importancia
5 - Crítica
Recursos Afectados
  • DiskStation Manager (DSM), versión 6.2;
  • DSM UC, versión 3.0;
  • SkyNAS;
  • VS960HD.
Descripción

Se han identificado 6 vulnerabilidades de severidad crítica y otras 6 de severidad alta que podrían permitir a un atacante remoto ejecutar código arbitrario.

Solución

En el caso del producto DSM, actualizar a la versión 6.2.3-25426-3 u otra superior.

Para el resto de productos, no existe una solución por el momento.

Detalle
  • Una vulnerabilidad de condición de carrera, una vulnerabilidad de tipo Use-After-Free o una vulnerabilidad de lectura fuera de límites en iscsi_snapshot_comm_core de DSM, podrían permitir a un atacante remoto ejecutar código arbitrario a través de solicitudes web especialmente diseñadas. Se han asignado los identificadores CVE-2021-26569, CVE-2021-27646 y CVE-2021-27647 para estas vulnerabilidades críticas.
  • Una vulnerabilidad de transmisión de texto sin cifrar con información confidencial, una vulnerabilidad de desbordamiento de búfer basada en pila (stack) o una vulnerabilidad de escritura fuera de límites en synoagentregisterd de DSM, podrían permitir ataques de man-in-the-middle para falsificar servidores o ejecutar código arbitrario respectivamente. Se han asignado los identificadores CVE-2021-26560, CVE-2021-26561 y CVE-2021-26562 para estas vulnerabilidades críticas.

Para el resto de vulnerabilidades se han asignado los identificadores CVE-2021-26563, CVE-2021-26564, CVE-2021-26565, CVE-2021-26566, CVE-2021-26567 y CVE-2021-29083.

Encuesta valoración

Listado de referencias
Synology-SA-20:26 DSM
Etiquetas