Synology Mail Server 中被发现存在一个中度严重级别的漏洞。该漏洞允许已通过身份验证的远程攻击者读取和写入非敏感设置,并禁用某些非关键功能。
这个被追踪为 CVE-2025-2848 的安全漏洞,影响了这款广受欢迎的邮件服务器软件的多个版本,促使 Synology 为受影响的系统发布了安全补丁。
Synology 为该漏洞分配的通用漏洞评分系统(CVSS)基础评分为 6.3,评分向量为 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L,这表明该漏洞的严重程度为中度,有可能对数据保密性、完整性和可用性造成影响。
该安全漏洞具体表现为,已通过身份验证的远程攻击者无需用户交互即可操纵系统配置。安全研究人员 Chanin Kim 发现了这个漏洞,并按照 Synology 公司的负责任披露计划向其进行了报告。
在广泛应用补丁之前,完整的技术细节仍处于保密状态,但这类漏洞通常涉及访问控制机制不当,无法正确限制已通过身份验证的用户访问或修改超出其应有权限的配置设置。
该漏洞的概述如下:
风险因素 详情
受影响产品 适用于 DSM 7.1、7.2 的Synology Mail Server
影响 允许已通过身份验证的远程攻击者读取 / 写入非敏感设置
利用前提条件 已通过身份验证的网络访问
CVSS 3.1 评分 6.3(中度)
受影响产品及修复措施
该漏洞影响以下产品:
1.适用于 DSM 7.2 的 Synology Mail Server(在 1.7.6-20676 或更高版本中已修复)
2.适用于 DSM 7.1 的 Synology Mail Server(在 1.7.6-10676 或更高版本中已修复)
强烈建议用户立即更新其邮件服务器的安装版本。目前尚未发现其他缓解策略,因此软件更新是防范潜在漏洞利用的唯一有效保护措施。
这一安全问题是在网络附加存储(NAS)设备及相关服务持续受到网络安全关注的背景下出现的。
2024 年,Synology 处理了其产品线中的 13 个安全漏洞。今年早些时候,Synology 还修复了其 SRM(Synology Router Manager)软件中的多个漏洞,这些漏洞曾允许已通过身份验证的用户读取或写入非敏感文件。
从历史上看,该公司在处理安全漏洞方面一直都很积极主动。
Synology 产品的用户应该:
1.立即更新到安全公告中指定的已修复版本。
2.考虑实施诸如地理限制等额外的安全措施,以将访问限制在授权区域内。
3.为所有管理员账户启用双因素身份验证。
4.配置自动安全通知,以便及时了解登录失败尝试或异常活动的情况。
Synology 遵循负责任的披露原则,在修复方案可用之前不会公开宣布安全漏洞。
与所有安全更新一样,管理员应在将已修复版本部署到关键系统之前,先在非生产环境中对其进行测试。
发表评论
您还未登录,请先登录。
登录