Se ha reportado un nuevo aviso de seguridad sobre varias vulnerabilidades que afectan a Mail Station de Synology, que permitirían a un atacante remoto realizar inyección de comandos SQL (SQLi) en el sistema afectado.
Synology ha reportado múltiples vulnerabilidades de severidad “Crítica”. Las mismas se detallan a continuación:
- Vulnerabilidades Synology-SA-23:09, de severidad “Crítica” y sin puntuación asignada aún. Estas vulnerabilidades se deben a una incorrecta validación de entradas del usuario en varias versiones de Mail Station para DSM. Esto permitiría a un atacante remoto a través de una versión vulnerable de Mail Station, realizar inyección de comandos SQL (SQLi) e inyección de código JavaScript o HTML arbitrarios en el sistema afectado.
Las versiones afectadas son:
- Mail Station para Synology DiskStation Manager (DSM), versiones 6.2, 7.0, 7.1 y 7.2.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:
Adicionalmente, se debe tener en cuenta lo siguiente al momento de la instalación:
- Para los dispositivos con versión 6.2, actualizar a la versión 20230626-0322 o superior.
- Para los dispositivos con versión 7.0, actualizar a la versión 20230626-10322 o superior.
- Para los dispositivos con versión 7.1, actualizar a la versión 20230626-10322 o superior.
- Para los dispositivos con versión 7.2, actualizar a la versión 20230626-20322 o superior.
Referencias: