Vulnérabilité dans le gestionnaire de contrôle d’accès Synology SafeAccess
Date de publication :
Deux vulnérabilités ont été corrigées dans le logiciel SafeAccess de Synology.
CVE-2020-27659 [Score CVSS v3 : 8.4] : Plusieurs failles de type Cross-site scripting (XSS) ont été décelées dans SafeAccess. Un attaquant distant et authentifié peut alors potentiellement injecter du code Javascript, PHP ou HTML.
CVE-2020-27660 [Score CVSS v3 : 9.6] : Une vulnérabilité a été corrigée au sein du fichier request.cgi dans SafeAccess. Cette dernière peut permettre à un attaquant distant et non-authentifié d’injecter des requêtes SQL.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Injections SQL
Criticité
- Score CVSS v3 : 8.4 ; 9.6
Existence d’un code d’exploitation
- Il n’existe à ce jour aucun code d'exploitation
Composants vulnérables
- Toutes les versions de SafeAccess antérieures à 1.2.3-0234
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour SafeAccess vers la version 1.2.3-0234 ou supérieure.
Solution de contournement
Il n’existe, à ce jour, aucune solution de contournement