Synology waarschuwt voor een beveiligingslek in de VPN Plus Server-software voor het SRM 1.2-besturingssysteem van de routers van het merk. Het gaat om een kwetsbaarheid waardoor aanvallers vanaf afstand SQL-opdrachten kunnen uitvoeren en daardoor bestanden kunnen manipuleren. Meer informatie wordt niet gegeven.
Het bedrijf beschouwt de ernstigheid van de kwetsbaarheid zelf als 'matig', maar de Duitse cyberveiligheidsdienst BSI geeft hem een 'kritieke' cvss-basisscore van 9.1. De kwetsbaarheid was ook aanwezig in de 1.3-versie van het besturingssysteem, maar inmiddels is deze met de 1.4.6-0685-patch opgelost. Synology geeft geen tijdelijke tegenmaatregelen.
Begin dit jaar dichtte Synology een ander beveiligingslek waarmee routers van het merk dienst kunnen doen als vpn-server. Aanvallers konden zo malafide code uitvoeren via deze achterdeur, zonder dat er nood is aan verhoogde rechten. Die kwetsbaarheid kreeg toen de maximale cvss-basisscore van 10 punten.
Een router van Synology
