CVE-2024-50629

Faille de Sécurité dans les Produits Synology : Accès Non Autorisé à des Fichiers

Une vulnérabilité critique, identifiée sous le code CVE-2024-50629, affecte plusieurs produits Synology, notamment BeeStation Manager (BSM), DiskStation Manager (DSM) et Unified Controller (DSMUC). Elle concerne une mauvaise gestion de l’encodage ou de l’échappement des données dans le composant webapi. Cette faille peut permettre à des attaquants distants de lire des fichiers limités sur les systèmes vulnérables via des vecteurs non spécifiés. L’exploitation réside dans l’incapacité du système à préserver la structure d’un message destiné à la communication entre composants, due à une absence ou une erreur d’encodage.

Points Clés :

• Nature de la vulnérabilité : Mauvais encodage ou échappement de la sortie.
• Composant affecté : webapi.
• Conséquence : Lecture de fichiers limitée par des attaquants distants.
• Mécanisme : Préservation incorrecte de la structure des messages due à des erreurs d’encodage.

Vulnérabilités :

• CVE-2024-50629

Produits et Versions Affectés :

• Synology BeeStation Manager (BSM) avant la version 1.1-65374.
• Synology DiskStation Manager (DSM) avant les versions :
  • 6.2.4-25556-8
  • 7.1.1-42962-7
  • 7.2-64570-4
  • 7.2.1-69057-6
  • 7.2.2-72806-1
• Synology Unified Controller (DSMUC) avant la version 3.1.4-23079.

Recommandations :

• Mettre à jour les logiciels Synology vers les versions les plus récentes disponibles pour les produits mentionnés ci-dessus.

Source