Multiples vulnérabilités critiques dans des produits Synology

Date de publication :

CVE-2022-22683[Score CVSS v3.1: 10] (critique)
Un débordement de mémoire tampon dans Synology Media Server permet à un attaquant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire.

CVE-2022-22685[Score CVSS v3.1: 8.7]
Une erreur dans le composant webapi du serveur Synology WebDAV permet à un attaquant authentifié, en envoyant une requête spécialement forgée, de porter atteinte à l’intégrité des données.

CVE-2022-27613[Score CVSS v3.1: 8.3]
Une neutralisation incorrecte d’éléments spéciaux utilisés dans le composant webapi dans le protocole Synology CardDAV permet à un attaquant authentifié, d’exécuter du code arbitraire via des commandes SQL.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Atteinte à l’intégrité des données

Criticité

  • Score CVSS v3.1: 10 (critique)

La faille est activement exploitée

  • Non

Un correctif existe

  • Oui

Une mesure de contournement existe

  • Non

La vulnérabilité exploitée est du type

CWE-120: Buffer Copy without Checking Size of Input

CWE-22: Improper Limitation of a Pathname to a Restricted Directory

CWE-89: Improper Neutralization of Special Elements used in an SQL Command

Détails sur l’exploitation

Pour la CVE-2022-22683

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-22685

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification compte administrateur.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-27613

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Les produits suivants sont affectés par cette vulnérabilité :

  • Serveur Synology Media pour SRM 1.2
  • Serveur Synology Media pour DSM 6.2
  • Protocole CardDAV pour Synology DiskStation Manager en version 6.2

Solutions ou recommandations

Pour la CVE-2022-27613

  • Mettre à jour le protocole Synology CARDAV vers la version 6.0.10-0153 ou suivante.
  • Des informations complémentaires sont disponibles ici.

Pour la CVE-2022-22685

  • Mettre à jour le serveur Synology Media pour DSM 6.2 vers la version 2.4.0-0062 ou suivante.
  • Des informations complémentaires sont disponibles ici.

Pour la CVE-2022-22683

  • Mettre à jour le serveur Synology Media pour SRM 1.2 vers la version 1.4-2665 ou suivante
  • Mettre à jour le serveur Synology Media pour DSM 6.2 vers la version 1.8.1-2876 ou suivante.
  • Des informations complémentaires sont disponibles ici.

Liens