Synology phát hành bản vá cho các lỗ hổng nghiêm trọng

09:00 | 03/04/2024 | TIN TỨC SẢN PHẨM

Mới đây, công ty Synology (Đài Loan) đã giải quyết các lỗ hổng nghiêm trọng trong các phiên bản phần mềm Surveillance Station DSM 7.2, DSM 7.1 và DSM 6.2. Các lỗ hổng này có thể gây ra việc mất dữ liệu, mất kiểm soát hệ thống và gián đoạn dịch vụ quan trọng.

Synology phát hành bản vá cho các lỗ hổng nghiêm trọng

Đáng chú ý, lỗ hổng được theo dõi có định danh CVE-2024-29241 với điểm CVSS là 9.9 được đánh giá mức độ nghiêm trọng. Lỗ hổng này xảy ra do thiếu xác thực trong thành phần System webapi, có thể cho phép người dùng chưa được xác thực hoàn toàn vượt qua các giải pháp bảo mật. Điều này có thể dẫn đến việc người dùng trái phép truy cập vào hệ thống mà không cần xác thực đúng.

Cùng với đó, hai lỗ hổng khác được định danh là CVE-2024-29228 và CVE-2024-29229 đều có điểm CVSS là 7,7, liên quan đến việc thiếu xác thực trong các thành phần webapi GetStmUrlPath và GetLiveViewPath của phần mềm Surveillance Station.

Hai lỗ hổng trên có thể cho phép người dùng chưa được xác thực từ xa truy cập vào thông tin nhạy cảm thông qua các vector không xác định. Có thể cho phép kẻ tấn công có thể xâm nhập hệ thống và truy cập vào dữ liệu quan trọng mà không cần xác thực đúng.

Bên cạnh đó, một loạt các lỗ hổng SQL Injection đều có điểm CVSS là 5.4 đã được xác định trong các thành phần khác nhau, bao gồm Layout.LayoutSave, SnapShot.CountByCategory và Alert.Enum, và nhiều thành phần khác. Những lỗ hổng này khiến hệ thống dễ bị tấn công SQL command injection từ người dùng từ xa đã được xác thực, bằng cách lợi dụng việc không loại bỏ đúng các thành phần đặc biệt trong lệnh SQL.

Synology đã phát hành các bản vá (dành cho phần mềm phiên bản Surveillance Station 9.2.0-11289 trở lên) và khuyến cáo người dùng cập nhật ngay lập tức để tăng cường bảo mật và giảm thiểu các rủi ro đáng tiếc.

M.H

‹ › ×

Tin liên quan

Cảnh báo lỗ hổng nghiêm trọng trong Camera Zhejiang Uniview ISC

09:00 | 06/03/2024

Các nhà nghiên cứu đang cảnh báo về lỗ hổng nghiêm trọng có mã định danh CVE-2024-0778, gây ảnh hưởng đến dòng camera Zhejiang Uniview ISC (Trung Quốc) đã không còn được hỗ trợ.

Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS

15:00 | 16/04/2024

Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.

Phát hiện lỗ hổng ảnh hưởng đến hàng nghìn thiết bị Ivanti VPN

08:00 | 17/04/2024

Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.

Lỗ hổng trong thư viện Aiohttp bị tin tặc khai thác để tấn công mạng

10:00 | 28/03/2024

Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.

Lỗ hổng Kubernetes cho phép thực thi mã từ xa trên điểm cuối Windows

09:00 | 01/04/2024

Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).

Tin cùng chuyên mục

Hơn 91.000 Tivi LG có nguy cơ bị tấn công từ xa do lỗ hổng WebOS

13:00 | 17/04/2024

Các chuyên gia của công ty bảo mật Bitdefender Labs (Hoa Kỳ) tiết lộ các lỗ hổng bảo mật nghiêm trọng của hơn 91.000 Tivi (TV) thông minh LG chạy nền tảng WebOS độc quyền của công ty. Nếu bị khai thác, lỗ hổng này có thể cho phép kẻ tấn công truy cập trái phép vào các chức năng của TV và có thể cả mạng gia đình của người dùng.

Cảnh báo của CISA: Phần mềm ransomware Akira khai thác lỗ hổng Cisco ASA/FTD

09:00 | 04/03/2024

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) ngày 15/2 vừa qua đã bổ sung một lỗ hổng bảo mật hiện ảnh hưởng đến phần mềm thiết bị bảo mật thích ứng Cisco (Cisco Adaptive Security Appliance - ASA) và phần mềm phòng chống mối đe dọa hỏa lực (Firepower Threat Defense - FTD) vào danh mục Các lỗ hổng bị khai thác đã biết (KEV). Lỗ hổng này cũng có khả năng bị khai thác trong các cuộc tấn công ransomware của Akira.

Cập nhật bản vá lỗ hổng bảo mật tháng 11

09:00 | 08/12/2023

Trong tháng 11, Microsoft, Linux và VMWare lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Microsoft bổ sung các tính năng bảo mật mới cho Windows 11

14:00 | 24/10/2023

Ngày 26/9, Microsoft đã công bố các cải tiến về bảo mật sẽ có trong phiên bản Windows 11 mới nhất, bao gồm bảng điều khiển quản lý Passkey mới và các công cụ giúp giảm bề mặt tấn công.