Synology製ビデオ監視ソリューションに複数の脆弱性
Synologyが提供するビデオ監視ソリューション「Synology Surveillance Station」に複数の脆弱性が明らかとなった。アップデートにて修正されている。
「ウェブAPI」における認証欠如の脆弱性「CVE-2024-29241」「CVE-2024-29228」「CVE-2024-29229」をはじめ、あわせて15件の脆弱性が明らかとなったもの。同社はアドバイザリの重要度を4段階中、上から2番目にあたる「重要(Important)」とレーティングしている。
「CVE-2024-29241」については、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.9」と評価。「CVE-2024-29228」「CVE-2024-29229」についてはともに「7.7」とした。いずれも悪用には認証が必要だという。重要度についてはいずれも「重要(Important)」とした。
のこる12件に関しては重要度を1段階低い「中(Moderate)」と評価している。同社は「同9.2.0-11289」「同9.2.0-9289」にてこれら脆弱性を修正しており、利用者へアップデートを呼びかけている。
またクライアントソフト「Synology Surveillance Station Client」では、任意のコマンドを実行されるおそれがある脆弱性が判明した。CVE番号やCVSS基本値は示していないが、「同2.2.0-2507」にて修正したという。重要度は「重要(Important)」。
今回のアドバイザリで「Surveillance Station」にて修正された脆弱性は以下のとおり。
CVE-2024-29227
CVE-2024-29228
CVE-2024-29229
CVE-2024-29230
CVE-2024-29231
CVE-2024-29232
CVE-2024-29233
CVE-2024-29234
CVE-2024-29235
CVE-2024-29236
CVE-2024-29237
CVE-2024-29238
CVE-2024-29239
CVE-2024-29240
CVE-2024-29241
(Security NEXT - 2024/04/02 )
ツイート
PR
関連記事
警告音付き偽画面でサポート詐欺被害、支払要求で気付く - 松山大
広島県、庁内で書類紛失 - 貸出記録なく確認に時間
個人情報含む内部管理用ファイルをメールに誤添付 - 神奈川県
高校生徒の個人情報含むUSBメモリを持ち出して紛失 - 名古屋市
患者向け医薬品情報サイト、年末年始直前にSQLi攻撃で改ざん被害
「Apache Tomcat」にRCEや情報漏洩のおそれ - 2月の更新で修正済み
「Ivanti EPM」「VeraCore」が脆弱性攻撃の標的に - 米当局が注意喚起
「Lucee」旧版に「XXE脆弱性」 - リモートよりコード実行のおそれ
「Apache Ranger」のCSV出力機能に脆弱性 - 修正版が公開
ローコードAI開発ツール「Flowise」に脆弱性 - ゼロデイ攻撃の指摘も
