在 1.3.1-9346-6 之前的 Synology Router Manager (SRM) 中的 Directory Domain Functionality 中和 OS 命令 (OS Command Injection) 弱點中使用的特殊元素,允許遠端驗證的使用者透過未指定的向量執行任意命令。
此弱點允許網路相鄰的攻擊者在受影響的 Synology RT6600ax 路由器安裝上執行任意代碼。 需要驗證才能利用此弱點。
WEB API 端點中存在特定的缺陷。 問題是由於在執行系統呼叫之前,未正確驗證使用者提供的字串。 攻擊者可以利用此弱點在根目錄執行程式碼。
Team82 致力於以協調、及時的方式私下向受影響的供應商報告漏洞,以確保全球網路安全生態系統的安全。 為與供應商和研究社群互動, Team82 邀請您下載並分享我們的協調披露政策。 Team82 當我們發現產品和服務中的漏洞時,將遵守此報告和披露流程。
