Synologyのルータ、NASソフトウェアに深刻な脆弱性 Safe Access CVE-2020-27660 CVE-2020-27659についての情報になります。
Synologyが提供するルータやNASに搭載されているソフトウェアに深刻な脆弱性が含まれていることがわかったそうで、一部はアップデートが未提供となっているとのことです。
以下は抜粋。
「Synology Router」のデバイス管理向けプログラム「Safe Access」では2件の脆弱性「CVE-2020-27660」「CVE-2020-27659」が判明した。
「CVE-2020-27660」は、SQLインジェクションの脆弱性。共通脆弱性評価システム「CVSSv3」のベーススコアは、最高値の「10」に対して「9.6」と評価されている。重要度は「クリティカル(Critical)」。
また「CVE-2020-27659」はクロスサイトスクリプティング(XSS)の脆弱性で「CVSSv3」のベーススコアは「8.4」。重要度については1段階低い「重要(Important)」とレーティングされている。同社はアップデートとなる「同1.2.3-0234」で脆弱性に対処した。
Synology製の複数製品に深刻な脆弱性 - 一部はパッチ未提供
https://www.security-next.com/121332
メーカーのサイトはこちらです。
https://www.synology.com/ja-jp/security/advisory
Synology-SA-20:25 Safe Access
Abstract
Multiple vulnerabilities allow remote attackers to execute arbitrary code via a susceptible version of Safe Access.
Affected Products
CVE-2020-27659
Severity: Important
CVSS3 Base Score: 8.4
CVSS3 Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H
Multiple cross-site scripting (XSS) vulnerabilities in Synology SafeAccess before 1.2.3-0234 allow remote attackers to inject arbitrary web script or HTML via the (1) domain or (2) profile parameter.
CVE-2020-27660
Severity: Critical
CVSS3 Base Score: 9.6
CVSS3 Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
SQL injection vulnerability in request.cgi in Synology SafeAccess before 1.2.3-0234 allows remote attackers to execute arbitrary SQL commands via the domain parameter.
対象方法は、1.2.3-0234かそれ以上にアップグレードします。