• 2025-10-22 18:32:51

Synology 修复网络设备漏洞

重要信息摘要

Synology发布了两个安全通知，提醒客户关于最近发现的多个漏洞的修复补丁。第一个通知涉及到Synology VPN Plus Server远程桌面功能中的越界写入漏洞，可能使远程攻击者能够执行任意命令。第二个通知则详细描述了影响Synology路由器管理器的多个漏洞，这些漏洞可能被利用进行拒绝服务攻击、读取任意文件和执行任意命令。此外，第二个通知还对发现并报告这些漏洞的人员给予了赞扬，包括Computest和Gaurav Baruah，他们是Trend Micro零日计划的成员。

详细内容

Synology是一家总部位于台湾的网络及存储解决方案提供商。根据SecurityWeek的报道，该公司在去年年底之前发布了两个安全通告，通知其客户已经发布了对几项新发现漏洞的补丁。

在第一个通知中，Synology描述了其VPN Plus服务器的远程桌面功能中的越界写入漏洞。这一漏洞可能使得远程攻击者能够发起任意命令，从而对用户系统造成潜在风险。

第二个通知重点说明了影响Synology路由器管理器的多个漏洞。这些漏洞可以被恶意攻击者通过以下方式利用：

此外，第二个通知还特别感谢了发现并报告这些漏洞的研究人员，尤其是Computest和Gaurav Baruah，他们参与了Trend Micro的零日计划。这一过程中，发现的其他漏洞也在上个月的Pwn2Own Toronto 2022黑客竞赛中首次得到展示，参与者因此获得了超过80000美元的奖励，对Synology的路由器和NAS设备进行了攻破。

有关更多信息，请参见以下链接：SecurityWeek 和 SC World。