CVE-2021-26566

CVSS 8.3 HIGHEPSS 1.4%CWE-201

En resumen

Una falla en Synology DiskStation Manager permite a atacantes en la red interceptar el tráfico de QuickConnect y ejecutar comandos arbitrarios en el dispositivo. Esto ocurre porque la información sensible se envía de forma insegura, facilitando que alguien entre usted y el servidor tome el control.

Detalle técnico

Una vulnerabilidad de man-in-the-middle en el componente synorelayd del DSM anterior a la versión 6.2.3-25426-3 permite ejecución remota de código no autenticada mediante la interceptación del tráfico inbound de QuickConnect. La vulnerabilidad resulta de la inserción de información sensible en datos transmitidos sin cifrado adecuado, permitiendo inyección de comandos por atacantes posicionados en la red.

Resumen generado y traducido por IA a partir de la descripción oficial.

Insertion of sensitive information into sent data vulnerability in synorelayd in Synology DiskStation Manager (DSM) before 6.2.3-25426-3 allows man-in-the-middle attackers to execute arbitrary commands via inbound QuickConnect traffic.

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

Productos afectados

Synology · Synology DiskStation Manager (DSM)

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.synology.com/security/advisory/Synology_SA_20_26 https://www.talosintelligence.com/vulnerability_reports/TALOS-2020-1160