Synology исправила несколько уязвимостей в ПО для сетевых хранилищ

image

Теги: уязвимость, сетевое хранилище, Synology, безопасность хранилищ данных

Злоумышленник может скомпрометировать устройство NAS и похить хранящуюся на нем конфиденциальную информацию.

Специалисты тайваньской компании Synology, которая занимается разработкой сетевых хранилищ данных (NAS), выпустили обновления программного обеспечения, исправляющие несколько уязвимостей.

Обнаруженная  XSS уязвимость  в DiskStation Manager (DSM) может позволить злоумышленнику выполнить произвольный код JavaScript-сценария в браузере жертвы и получить доступ к сеансовому идентификатору.

Кроме межсайтового скриптинга, ИБ-исследователи из Securify также обнаружили CSRF  уязвимость  в online-фотоальбоме Synology Photo Station, используемом для обмена фото и видео пользователями DSM. Брешь может позволить атакующему выполнить произвольные системные команды с привилегиями web-сервера. Успешная эксплуатация этой уязвимости позволит злоумышленнику скомпрометировать устройство NAS и теоретически похитить хранящуюся на нем конфиденциальную информацию.

Соучредитель Securify Хан Шахин (Han Sahin) определил данные уязвимости как «средние», так как они требуют использование социальной инженерии. Тем не менее, эксперт отметил, что такие недостатки в устройствах NAS часто эксплуатируются злоумышленниками в фарминг-атаках.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.