Тайвань: Synology исправила несколько уязвимостей в ПО для сетевых хранилищ

0

Специалисты тайваньской компании Synology, которая занимается разработкой сетевых хранилищ данных (NAS),выпустили обновления программного обеспечения, исправляющие несколько уязвимостей. Обнаруженная XSS уязвимость в DiskStation Manager (DSM) может позволить злоумышленнику выполнить произвольный код JavaScript-сценария в браузере жертвы и получить доступ к сеансовому идентификатору.


Кроме межсайтового скриптинга, ИБ-исследователи из Securify также обнаружили CSRF уязвимости в online-фотоальбоме Synology Photo Station, используемом для обмена фото и видео пользователями DSM. Брешь может позволить атакующему выполнить произвольные системные команды с привилегиями web-сервера. Успешная эксплуатация этой уязвимости позволит злоумышленнику скомпрометировать устройство NAS и теоретически похитить хранящуюся на нем конфиденциальную информацию. Соучредитель Securify Хан Шахин (Han Sahin) определил данные уязвимости как “средние”, так как они требуют использование социальной инженерии. Тем не менее, эксперт отметил, что такие недостатки в устройствах NAS часто эксплуатируются злоумышленниками в фарминг-атаках. (Synology/NovostIT)