Synology製ビデオ監視ソリューションに複数の脆弱性
Synologyが提供するビデオ監視ソリューション「Synology Surveillance Station」に複数の脆弱性が明らかとなった。アップデートにて修正されている。
「ウェブAPI」における認証欠如の脆弱性「CVE-2024-29241」「CVE-2024-29228」「CVE-2024-29229」をはじめ、あわせて15件の脆弱性が明らかとなったもの。同社はアドバイザリの重要度を4段階中、上から2番目にあたる「重要(Important)」とレーティングしている。
「CVE-2024-29241」については、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.9」と評価。「CVE-2024-29228」「CVE-2024-29229」についてはともに「7.7」とした。いずれも悪用には認証が必要だという。重要度についてはいずれも「重要(Important)」とした。
のこる12件に関しては重要度を1段階低い「中(Moderate)」と評価している。同社は「同9.2.0-11289」「同9.2.0-9289」にてこれら脆弱性を修正しており、利用者へアップデートを呼びかけている。
またクライアントソフト「Synology Surveillance Station Client」では、任意のコマンドを実行されるおそれがある脆弱性が判明した。CVE番号やCVSS基本値は示していないが、「同2.2.0-2507」にて修正したという。重要度は「重要(Important)」。
今回のアドバイザリで「Surveillance Station」にて修正された脆弱性は以下のとおり。
CVE-2024-29227
CVE-2024-29228
CVE-2024-29229
CVE-2024-29230
CVE-2024-29231
CVE-2024-29232
CVE-2024-29233
CVE-2024-29234
CVE-2024-29235
CVE-2024-29236
CVE-2024-29237
CVE-2024-29238
CVE-2024-29239
CVE-2024-29240
CVE-2024-29241
(Security NEXT - 2024/04/02 )
ツイート
PR
関連記事
メール誤送信でファンクラブ会員のメアド流出 - クリアソン新宿
新「NOTICE」がスタート、脆弱性ある機器も注意喚起対象に
サイトで閲覧障害、影響や詳細を調査 - メディキット
緊急連絡用職員名簿をポーチごと紛失、翌日回収 - 江戸川区
指導要録の紛失判明、過去に緊急点検するも見落とし - 杉並区
複数フォームで設定ミス、入力情報が閲覧できる状態に - Acompany
スポーツ用品販売のヒマラヤ公式Xが乗っ取り被害 - なりすましDMに注意
UTM設置時のテストアカウントが未削除、ランサム感染の原因に
カンファレンスイベント「CODE BLUE 2024」、講演者募集を開始
「Ruby」に3件の脆弱性、アップデートで修正を実施
