CVE-2025-12686

1 minute de lecture

Mis à jour : November 28, 2025

Attaque sur Synology BeeStation : Exécution de Code à Distance Critique

Une faille de sécurité critique, identifiée sous le nom de CVE-2025-12686, a été découverte sur les appareils Synology BeeStation. Cette vulnérabilité, démontrée lors de la compétition de hacking Pwn2Own Ireland 2025, permet une exécution de code à distance (RCE).

Elle est causée par un défaut de vérification de l’entrée du tampon, ouvrant la voie à l’exécution de code arbitraire. L’exploitation réussie de cette faille peut permettre à un attaquant de contourner le pare-feu pour accéder à des informations personnelles identifiables (PII) et des secrets commerciaux. De plus, l’attaquant pourrait se servir de l’adresse IP interne de confiance du NAS pour se déplacer latéralement au sein du réseau, potentiellement vers un contrôleur de domaine (DC) ou une infrastructure de bureau virtuel (VDI).

Synology a déjà publié un correctif pour remédier à cette vulnérabilité.

Points Clés :

Vulnérabilité : CVE-2025-12686
Type de vulnérabilité : Exécution de code à distance (RCE)
Produit affecté : Synology BeeStation
Cause : Entrée de tampon non vérifiée
Conséquences : Accès aux PII et secrets commerciaux, mouvement latéral dans le réseau.

Vulnérabilité :

CVE-2025-12686

Recommandations :

Appliquer le correctif publié par Synology.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-12686

Attaque sur Synology BeeStation : Exécution de Code à Distance Critique

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast