[TLP:CLEAR] Synology opravuje 3 zranitelnosti
Synology opravuje 3 zranitelnosti v produktech Assistant, Active Backup for Business Agent a C2 Identity Edge Server for DSM [1][2][3]. Produkty a opravené verze: Synology Assistant - 7.0.6-50085 [1] Synology Active Backup for Business Agent - 3.1.0-4967 [2] Synology C2 Identity Edge Server for DSM - 1.76.0-0307 [3]
Neautentizovanému lokálnímu útočníkovi je v produktech Assistant a Active Backup for Business Agent umožněno zapisovat libovolné soubory s restriktivním obsahem [1].
Zranitelnost se nachází v produktech:
- Synology Assistant ve verzích <7.0.6-50085
- Synology Active Backup for Business Agent ve verzích <3.1.0-4967
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
Více informací:
- CVE-2025-66593 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-66592 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-346: Origin Validation Error at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 12. 2025.
Neautentizovanému vzdálenému útočníkovi je v produktu C2 Identity Edge Server for DSM umožněno získat uživatelské přihlašovací údaje [3].
Zranitelnost se nachází v produktu C2 Identity Edge Server for DSM ve verzích <1.76.0-0307.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2025-14713 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-749: Exposed Dangerous Method or Function at cwe.mitre.org
Zranitelnost byla veřejně oznámena 16. 12. 2025.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 18. 12. 2025.
