Synology phát hành bản vá cho các lỗ hổng nghiêm trọng

09:00 | 03/04/2024 | TIN TỨC SẢN PHẨM

Mới đây, công ty Synology (Đài Loan) đã giải quyết các lỗ hổng nghiêm trọng trong các phiên bản phần mềm Surveillance Station DSM 7.2, DSM 7.1 và DSM 6.2. Các lỗ hổng này có thể gây ra việc mất dữ liệu, mất kiểm soát hệ thống và gián đoạn dịch vụ quan trọng.

Synology phát hành bản vá cho các lỗ hổng nghiêm trọng

Đáng chú ý, lỗ hổng được theo dõi có định danh CVE-2024-29241 với điểm CVSS là 9.9 được đánh giá mức độ nghiêm trọng. Lỗ hổng này xảy ra do thiếu xác thực trong thành phần System webapi, có thể cho phép người dùng chưa được xác thực hoàn toàn vượt qua các giải pháp bảo mật. Điều này có thể dẫn đến việc người dùng trái phép truy cập vào hệ thống mà không cần xác thực đúng.

Cùng với đó, hai lỗ hổng khác được định danh là CVE-2024-29228 và CVE-2024-29229 đều có điểm CVSS là 7,7, liên quan đến việc thiếu xác thực trong các thành phần webapi GetStmUrlPath và GetLiveViewPath của phần mềm Surveillance Station.

Hai lỗ hổng trên có thể cho phép người dùng chưa được xác thực từ xa truy cập vào thông tin nhạy cảm thông qua các vector không xác định. Có thể cho phép kẻ tấn công có thể xâm nhập hệ thống và truy cập vào dữ liệu quan trọng mà không cần xác thực đúng.

Bên cạnh đó, một loạt các lỗ hổng SQL Injection đều có điểm CVSS là 5.4 đã được xác định trong các thành phần khác nhau, bao gồm Layout.LayoutSave, SnapShot.CountByCategory và Alert.Enum, và nhiều thành phần khác. Những lỗ hổng này khiến hệ thống dễ bị tấn công SQL command injection từ người dùng từ xa đã được xác thực, bằng cách lợi dụng việc không loại bỏ đúng các thành phần đặc biệt trong lệnh SQL.

Synology đã phát hành các bản vá (dành cho phần mềm phiên bản Surveillance Station 9.2.0-11289 trở lên) và khuyến cáo người dùng cập nhật ngay lập tức để tăng cường bảo mật và giảm thiểu các rủi ro đáng tiếc.

M.H

‹ › ×

Tin liên quan

Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS

15:00 | 16/04/2024

Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.

Cảnh báo lỗ hổng nghiêm trọng trong Camera Zhejiang Uniview ISC

09:00 | 06/03/2024

Các nhà nghiên cứu đang cảnh báo về lỗ hổng nghiêm trọng có mã định danh CVE-2024-0778, gây ảnh hưởng đến dòng camera Zhejiang Uniview ISC (Trung Quốc) đã không còn được hỗ trợ.

Phát hiện lỗ hổng ảnh hưởng đến hàng nghìn thiết bị Ivanti VPN

08:00 | 17/04/2024

Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.

Lỗ hổng trong thư viện Aiohttp bị tin tặc khai thác để tấn công mạng

10:00 | 28/03/2024

Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.

Lỗ hổng chèn lệnh BatBadBut ảnh hưởng đến nhiều ngôn ngữ lập trình

09:00 | 03/05/2024

Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.

Lỗ hổng Kubernetes cho phép thực thi mã từ xa trên điểm cuối Windows

09:00 | 01/04/2024

Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).

Cập nhật bản vá lỗ hổng bảo mật tháng 4

14:00 | 04/05/2024

Trong tháng 4/2024, Microsoft, Adobe và SAP lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Tin cùng chuyên mục

Tin tặc tấn công điện thoại qua số tài khoản ngân hàng

22:00 | 30/01/2025

Mới đây, các chuyên gia đã cảnh báo về rủi ro người dùng bị tấn công điện thoại thông qua các số tài khoản ngân hàng. Có nhiều cách để lấy được số tài khoản và số điện thoại của nạn nhân như thông tin công khai trên các nền tảng kinh doanh trực tuyến hoặc mua trong gói dữ liệu trên chợ đen, diễn đàn dành cho tin tặc...

Microsoft khắc phục 161 lỗ hổng bảo mật trong bản vá Patch Tuesday tháng 1

09:00 | 23/01/2025

Microsoft vừa phát hành bản Patch Tuesday tháng 01/2025 để giải quyết 161 lỗ hổng bảo mật. Đáng lưu ý, bản ván lần này khắc phục 8 lỗ hổng zero-day, trong đó 3 lỗ hổng đang bị khai thác trong thực tế.

Cisco cảnh báo về việc khai thác lỗ hổng ASA WebVPN đã tồn tại hàng thập kỷ

10:00 | 09/12/2024

Ngày 2/12 vừa qua, Cisco đã đưa ra cảnh báo khách hàng về việc khai thác tích cực lỗ hổng bảo mật đã tồn tại hàng thập kỷ đang ảnh hưởng đến thiết bị bảo mật thích ứng (ASA) của hãng.

Cơ quan hành pháp Mỹ lo lắng khi iPhone tự khởi động lại

10:00 | 20/11/2024

Theo tài liệu thực thi pháp luật gửi đến lãnh đạo các cơ quan hành pháp, cảnh sát và các chuyên gia pháp y trên khắp nước Mỹ do 404Media thu thập được, những chiếc iPhone được bảo quản an toàn vẫn có thể tự khởi động lại, gây khó khăn cho việc điều tra và thu thập chứng cứ.