L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de DiskStation Manager

avis de vulnérabilité 25664

Synology DSM : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Synology DSM, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM, Synology DS***, Synology RS***.
Gravité : 2/4.
Date création : 27/03/2018.
Références : Synology-SA-18:14, VIGILANCE-VUL-25664.

Description de la vulnérabilité

Le produit Synology DSM dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Synology DSM, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2018-8924

Synology Office : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Synology Office, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Date création : 26/03/2018.
Références : CVE-2018-8924, Synology-SA-18:12, VIGILANCE-VUL-25652.

Description de la vulnérabilité

Le produit Synology Office dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Synology Office, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-15886 CVE-2017-15892

Synology Chat : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Synology Chat, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Date création : 18/12/2017.
Références : CVE-2017-15886, CVE-2017-15892, Synology-SA-17:78, VIGILANCE-VUL-24799.

Description de la vulnérabilité

Le produit Synology Chat dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Synology Chat, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2017-15888

Synology Audio Station : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Synology Audio Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Date création : 30/10/2017.
Références : CVE-2017-15888, Synology-SA-17:61, VIGILANCE-VUL-24272.

Description de la vulnérabilité

Le produit Synology Audio Station dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Synology Audio Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2017-14595 CVE-2017-14596

Joomla Core : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Joomla Core.
Produits concernés : Joomla! Core, Synology DSM, Synology DS***, Synology RS***.
Gravité : 2/4.
Date création : 19/09/2017.
Références : CERTFR-2017-AVI-315, CVE-2017-14595, CVE-2017-14596, Synology-SA-17:55, VIGILANCE-VUL-23875.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Joomla Core.

Un attaquant peut contourner les mesures de sécurité via Intro Text, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-14595]

Un attaquant peut contourner les mesures de sécurité via Username/Password, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-14596]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2017-9555

Synology Photo Station : Cross Site Scripting via PixlrEditorHandler.php

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via PixlrEditorHandler.php de Synology Photo Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Date création : 25/08/2017.
Références : CVE-2017-9555, Synology-SA-17:47, VIGILANCE-VUL-23611.

Description de la vulnérabilité

Le produit Synology Photo Station dispose d'un service web.

Cependant, les données reçues via PixlrEditorHandler.php ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via PixlrEditorHandler.php de Synology Photo Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2017-9556

Synology Video Station : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Synology Video Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Date création : 10/08/2017.
Références : CVE-2017-9556, Synology-SA-17:39, VIGILANCE-VUL-23495.

Description de la vulnérabilité

Le produit Synology Video Station dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Synology Video Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-11149 CVE-2017-11156

Synology Download Station : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Synology Download Station.
Produits concernés : Synology DSM, Synology DS***, Synology RS***.
Gravité : 2/4.
Date création : 13/07/2017.
Références : CVE-2017-11149, CVE-2017-11156, Synology-SA-17:28, VIGILANCE-VUL-23247.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Synology Download Station.

Un attaquant peut contourner les restrictions d'accès aux fichiers, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-11149]

Un attaquant peut uploader un fichier malveillant, afin par exemple de déposer un Cheval de Troie. [grav:2/4; CVE-2017-11156]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2017-11499

Node Core : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Node Core.
Produits concernés : openSUSE Leap, RHEL, Synology DSM.
Gravité : 3/4.
Date création : 12/07/2017.
Références : CVE-2017-11499, openSUSE-SU-2017:2179-1, RHSA-2017:2908-01, RHSA-2017:3002-01, Synology-SA-17:32, VIGILANCE-VUL-23220.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Node Core.

Un attaquant peut provoquer une surcharge via Constant Hashtable Seeds, afin de mener un déni de service. [grav:3/4; CVE-2017-11499]

Un attaquant peut provoquer une erreur fatale via Http.get With Numeric Authorization, afin de mener un déni de service. [grav:2/4]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2017-1000367 CVE-2017-1000368

sudo : élévation de privilèges via l'analyse de /proc/pid/stat

Synthèse de la vulnérabilité

Un attaquant local peut perturber le décodage de /proc/[pid]/stat par sudo, afin d'élever ses privilèges.
Produits concernés : Debian, Fedora, Junos Space, McAfee Web Gateway, openSUSE Leap, RHEL, Slackware, Sudo, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, InterScan Messaging Security Suite, Ubuntu, WindRiver Linux.
Gravité : 2/4.
Date création : 30/05/2017.
Date révision : 15/06/2017.
Références : 1117723, CERTFR-2017-AVI-238, CERTFR-2017-AVI-365, CVE-2017-1000367, CVE-2017-1000368, DLA-1011-1, DLA-970-1, DSA-3867-1, FEDORA-2017-54580efa82, FEDORA-2017-8b250ebe97, FEDORA-2017-facd994774, JSA10824, JSA10826, openSUSE-SU-2017:1455-1, openSUSE-SU-2017:1697-1, RHSA-2017:1381-01, RHSA-2017:1382-01, RHSA-2017:1574-01, SB10205, SSA:2017-150-01, SUSE-SU-2017:1446-1, SUSE-SU-2017:1450-1, SUSE-SU-2017:1626-1, SUSE-SU-2017:1627-1, SUSE-SU-2017:1778-1, Synology-SA-17:19, USN-3304-1, VIGILANCE-VUL-22865.

Description de la vulnérabilité

Le produit sudo cherche le terminal auquel il est relié.

Pour cela, il lit le fichier /proc/pid/stat. Cependant, la séparation des champs est incorrecte. Un attaquant peut manipuler le nom de l'exécutable pour écrire dans un fichier arbitrairement choisi.

Un attaquant local peut donc perturber le décodage de /proc/[pid]/stat par sudo, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur DiskStation Manager :