L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de DiskStation Manager

annonce de vulnérabilité 26282

Synology DSM : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Synology DSM, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Date création : 31/05/2018.
Références : Synology-SA-18:26, VIGILANCE-VUL-26282.

Description de la vulnérabilité

Le produit Synology DSM dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Synology DSM, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité 25664

Synology DSM : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Synology DSM, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM, Synology DS***, Synology RS***.
Gravité : 2/4.
Date création : 27/03/2018.
Références : Synology-SA-18:14, VIGILANCE-VUL-25664.

Description de la vulnérabilité

Le produit Synology DSM dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Synology DSM, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2018-8924

Synology Office : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Synology Office, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Date création : 26/03/2018.
Références : CVE-2018-8924, Synology-SA-18:12, VIGILANCE-VUL-25652.

Description de la vulnérabilité

Le produit Synology Office dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Synology Office, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-15886 CVE-2017-15892

Synology Chat : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Synology Chat, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Date création : 18/12/2017.
Références : CVE-2017-15886, CVE-2017-15892, Synology-SA-17:78, VIGILANCE-VUL-24799.

Description de la vulnérabilité

Le produit Synology Chat dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Synology Chat, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité 24664

Clients mail : usurpation d'expéditeur via Mailsploit

Synthèse de la vulnérabilité

Un attaquant peut envoyer un email avec un entête From spécial, qui sera tronqué par certains clients de messagerie, afin de tromper la victime.
Produits concernés : iOS par Apple, iPhone, Mac OS X, Notes, Office, Outlook, SeaMonkey, Thunderbird, Synology DSM.
Gravité : 3/4.
Date création : 06/12/2017.
Références : CERTFR-2017-ALE-019, Mailsploit, MFSA-2017-30, Synology-SA-17:82, VIGILANCE-VUL-24664.

Description de la vulnérabilité

Les clients de messagerie interprètent l'entête From pour afficher le nom de l'expéditeur.

Cependant, en utilisant un encodage Base64 ou Quoted Printable, et des caractères '\0' ou '\n', un attaquant peut forcer la troncature de l'adresse email affichée.

Un attaquant peut donc envoyer un email avec un entête From spécial, qui sera tronqué par certains clients de messagerie, afin de tromper la victime.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2017-15888

Synology Audio Station : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Synology Audio Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Date création : 30/10/2017.
Références : CVE-2017-15888, Synology-SA-17:61, VIGILANCE-VUL-24272.

Description de la vulnérabilité

Le produit Synology Audio Station dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Synology Audio Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2017-14595 CVE-2017-14596

Joomla Core : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Joomla Core.
Produits concernés : Joomla! Core, Synology DSM, Synology DS***, Synology RS***.
Gravité : 2/4.
Date création : 19/09/2017.
Références : CERTFR-2017-AVI-315, CVE-2017-14595, CVE-2017-14596, Synology-SA-17:55, VIGILANCE-VUL-23875.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Joomla Core.

Un attaquant peut contourner les mesures de sécurité via Intro Text, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-14595]

Un attaquant peut contourner les mesures de sécurité via Username/Password, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-14596]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2017-9555

Synology Photo Station : Cross Site Scripting via PixlrEditorHandler.php

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via PixlrEditorHandler.php de Synology Photo Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Date création : 25/08/2017.
Références : CVE-2017-9555, Synology-SA-17:47, VIGILANCE-VUL-23611.

Description de la vulnérabilité

Le produit Synology Photo Station dispose d'un service web.

Cependant, les données reçues via PixlrEditorHandler.php ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via PixlrEditorHandler.php de Synology Photo Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2017-9556

Synology Video Station : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Synology Video Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Date création : 10/08/2017.
Références : CVE-2017-9556, Synology-SA-17:39, VIGILANCE-VUL-23495.

Description de la vulnérabilité

Le produit Synology Video Station dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Synology Video Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-11149 CVE-2017-11156

Synology Download Station : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Synology Download Station.
Produits concernés : Synology DSM, Synology DS***, Synology RS***.
Gravité : 2/4.
Date création : 13/07/2017.
Références : CVE-2017-11149, CVE-2017-11156, Synology-SA-17:28, VIGILANCE-VUL-23247.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Synology Download Station.

Un attaquant peut contourner les restrictions d'accès aux fichiers, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-11149]

Un attaquant peut uploader un fichier malveillant, afin par exemple de déposer un Cheval de Troie. [grav:2/4; CVE-2017-11156]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur DiskStation Manager :