Karzemrok

QNAP QSA-22-14 : VideoStation - Plusieurs vulnérabilités

La première vulnérabilité permet à un attaquant non authentifié de divulguer le nom et l’identifiant du fichier vidéo. La deuxième vulnérabilité permet à un utilisateur authentifié n’ayant pas accès à l’application VideoStation de contourner la vérification des privilèges d’accès de l’application.

6 mai 2022

QNAP QSA-22-15 : PhotoStation - Contournement du contrôle des privilèges de l'application

Cette vulnérabilité permet à un utilisateur authentifié sans accès à l’application PhotoStation de contourner les restrictions d’accès.

6 mai 2022

QNAP QSA-21-25 : Helpdesk - Un simple utilisateur sans privilèges peut devenir administrateur du NAS

Cette vulnérabilité permet à un utilisateur authentifié d’activer l’accès SSH et d’en récupérer le mot de passe valide pour le compte _qnap_support. Ce compte est “sudoer” sur le périphérique.

11 juin 2021

Synology SA-20:25 : SafeAccess - Plusieurs vulnérabilités

XSS Stockée et injection SQLite sont présentes dans l’application Safe Access (1.2.1-0220).

24 novembre 2020

CVE-2020-25867 : SoPlanning Contournement de vérification de la clé de partage

Une vulnérabilité de confusion de type PHP permet à un attaquant non authentifié d’accéder au contenu des calendriers sans connaître la clé de sécurité.

21 juillet 2020

Synology SA-18-15 : Photo Station - Élévation de privilèges et CRLF

Plusieurs vulnérabilités permettent à un attaquant de voler la session d’un administrateur ou d’élever ses privilèges sur l’application Photo Station.

29 mars 2018

Synology SA-17:17 : Surveillance Station - Traversée de répertoire

Une vulnérabilité de traversée de répertoire permet à un attaquant authentifié qui a l’accès à Surveillance Station de télécharger n’import quelle image du système

12 décembre 2017