Multiples vulnérabilités critiques dans des produits Synology
Date de publication :
CVE-2022-22683[Score CVSS v3.1: 10] (critique)
Un débordement de mémoire tampon dans Synology Media Server permet à un attaquant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire.
CVE-2022-22685[Score CVSS v3.1: 8.7]
Une erreur dans le composant webapi du serveur Synology WebDAV permet à un attaquant authentifié, en envoyant une requête spécialement forgée, de porter atteinte à l’intégrité des données.
CVE-2022-27613[Score CVSS v3.1: 8.3]
Une neutralisation incorrecte d’éléments spéciaux utilisés dans le composant webapi dans le protocole Synology CardDAV permet à un attaquant authentifié, d’exécuter du code arbitraire via des commandes SQL.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Atteinte à l’intégrité des données
Criticité
Score CVSS v3.1: 10 (critique)
La faille est activement exploitée
Non
Un correctif existe
Oui
Une mesure de contournement existe
Non
La vulnérabilité exploitée est du type
Pour la CVE-2022-22683
CWE-120: Buffer Copy without Checking Size of Input
Pour la CVE-2022-22685
CWE-22: Improper Limitation of a Pathname to a Restricted Directory
Pour la CVE-2022-27613
CWE-89: Improper Neutralization of Special Elements used in an SQL Command
Détails sur l’exploitation
Pour la CVE-2022-22683
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-22685
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification compte administrateur.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-27613
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Les produits suivants sont affectés par cette vulnérabilité :
Serveur Synology Media pour SRM 1.2
Serveur Synology Media pour DSM 6.2
Protocole CardDAV pour Synology DiskStation Manager en version 6.2
Solutions ou recommandations
Pour la CVE-2022-27613
- Mettre à jour le protocole Synology CARDAV vers la version 6.0.10-0153 ou suivante.
- Des informations complémentaires sont disponibles ici.
Pour la CVE-2022-22685
- Mettre à jour le serveur Synology Media pour DSM 6.2 vers la version 2.4.0-0062 ou suivante.
- Des informations complémentaires sont disponibles ici.
Pour la CVE-2022-22683
- Mettre à jour le serveur Synology Media pour SRM 1.2 vers la version 1.4-2665 ou suivante
- Mettre à jour le serveur Synology Media pour DSM 6.2 vers la version 1.8.1-2876 ou suivante.
- Des informations complémentaires sont disponibles ici.