Synology Drive软件被发现存在多个漏洞。它是一个档案管理的解决方案,通过在跨桌面和流动等多个平台进行档案同步,以在Synology Network Storage (NAS) 上统一多个档案入口。通过认证的远端攻击者可使用特制的档案名称从而攻击当中某些漏洞。
成功利用这些漏洞可在受影响的系统上执行跨网站指令码或泄漏资讯。
Synology 发行了有关软件更新 (1.0.2-10275或以上版本) 以应对以上问题。用户应使用「Package Center」所显示的安装软件版本,以检查他们的Network Attached Storage (NAS) 是否受有关问题影响。
相关的Synology Drive软件更新也可从「Package Center」获取。
https://www.synology.com/zh-tw/support/security/Synology_SA_18_11
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2018-8921
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2018-8922