Vulnérabilité dans le gestionnaire de contrôle d’accès Synology SafeAccess

Date de publication : 29/09/2022

Deux vulnérabilités ont été corrigées dans le logiciel SafeAccess de Synology.

CVE-2020-27659 [Score CVSS v3 : 8.4] : Plusieurs failles de type Cross-site scripting (XSS) ont été décelées dans SafeAccess. Un attaquant distant et authentifié peut alors potentiellement injecter du code Javascript, PHP ou HTML.

CVE-2020-27660 [Score CVSS v3 : 9.6] : Une vulnérabilité a été corrigée au sein du fichier request.cgi dans SafeAccess. Cette dernière peut permettre à un attaquant distant et non-authentifié d’injecter des requêtes SQL.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Exécution de code arbitraire

Injections SQL

Criticité

Score CVSS v3 : 8.4 ; 9.6

Existence d’un code d’exploitation

Il n’existe à ce jour aucun code d'exploitation

Composants vulnérables

Toutes les versions de SafeAccess antérieures à 1.2.3-0234

CVE

CVE-2020-27659

CVE-2020-27660

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour SafeAccess vers la version 1.2.3-0234 ou supérieure.

Solution de contournement

Il n’existe, à ce jour, aucune solution de contournement

Liens

Bulletin de sécurité Synology