CVE-2024-39349 (CVSS 9.8)：Synology 监控摄像头存在严重漏洞

最近，领先的网络附加存储 (NAS) 和监控解决方案提供商 Synology 更新了其安全公告，详细说明了其 BC500 和 TC500 摄像头型号中的多个漏洞。这些漏洞是在 PWN2OWN 2023 黑客竞赛期间发现的，严重程度从“中等”到“严重”，可能允许远程攻击者执行代码、绕过安全限制或获取敏感信息。

• CVE-2024-39349（CVSS 9.8）： libjansson 组件中存在漏洞，允许远程攻击者通过未指定的向量执行任意代码。

• CVE-2023-47802 (CVSS 7.2)：IP 块功能中特殊元素的不当中和允许具有管理员权限的远程经过身份验证的用户执行任意命令。

• CVE-2024-39350（CVSS 7.5）：RTSP 功能中的漏洞允许中间人攻击者在未经同意的情况下获取特权。

• CVE-2024-39351 (CVSS 7.2)：NTP 配置中特殊元素的不当中和允许具有管理员权限的远程经过身份验证的用户执行任意命令。

• CVE-2023-47803 (CVSS 5.3)：语言设置功能中将路径名不当限制在受限目录中，允许远程攻击者读取包含非敏感信息的特定文件。

• CVE-2024-39352（CVSS 4.9）：固件升级功能中的授权不正确，允许具有管理员权限的远程身份验证用户绕过固件完整性检查。

Synology 已在固件版本 1.0.7-0298 及以上版本中及时修复了这些漏洞。强烈建议受影响摄像机型号的所有用户立即更新固件，以保护其监控系统免受潜在危害。如需更多信息和支持，用户可以访问Synology 支持页面。

https://www.synology.com/zh-hk/security/advisory/Synology_SA_23_15

原文始发于微信公众号（独眼情报）：CVE-2024-39349 (CVSS 9.8)：Synology 监控摄像头存在严重漏洞