Synologyはこのほど、「Synology_SA_24_18|Synology Inc.」および「Synology_SA_24_19 | Synology Inc.」において、同社の複数の製品に緊急の脆弱性が存在することを公表した。この脆弱性は10月22日(現地時間)に開催されたセキュリティコンテスト「Pwn2Own Ireland 2024」においてセキュリティ企業「Midnight Blue」が実証したもので、悪用されると遠隔から任意のコードを実行される可能性がある。

  • Synology_SA_24_18|Synology Inc.

    Synology_SA_24_18|Synology Inc.

脆弱性の情報

この脆弱性は「RISK:STATION」と名付けられ、概要が次のページにて公開されている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-10443 - リモートコード実行(RCE: Remote Code Execution)の脆弱性

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • BeePhotos for BeeStation OS 1.1.0-10053より前のバージョン
  • BeePhotos for BeeStation OS 1.0.2-10026より前のバージョン
  • Synology Photos 1.7 for DSM 7.2 1.7.0-0795より前のバージョン
  • Synology Photos 1.6 for DSM 7.2 1.6.2-0720より前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • BeePhotos for BeeStation OS 1.1.0-10053およびこれ以降のバージョン
  • BeePhotos for BeeStation OS 1.0.2-10026およびこれ以降のバージョン
  • Synology Photos 1.7 for DSM 7.2 1.7.0-0795およびこれ以降のバージョン
  • Synology Photos 1.6 for DSM 7.2 1.6.2-0720およびこれ以降のバージョン

対策

影響を受ける製品はSynologyPhotosを搭載したSynology DiskStationおよび、BeePhotosを搭載したSynology BeeStationとされる。これら製品を運用している管理者は製品のバージョンを確認し、必要に応じて最新バージョンへアップデートすることが推奨されている。