Synology SA-17:17 : Surveillance Station - Traversée de répertoire
%22%20fill=%22%23fff%22%20textLength=%22230%22%3ECVE%3C/text%3E%3Ctext%20x=%221015%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22950%22%3ECVE-2017-16770%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
%22%20fill=%22%23fff%22%20textLength=%22510%22%3ESynology%3C/text%3E%3Ctext%20x=%221085%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22530%22%3ESA-17:77%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
%22%20fill=%22%23fff%22%20textLength=%22250%22%3EDSM%3C/text%3E%3Ctext%20x=%22905%22%20y=%22140%22%20transform=%22scale(.1)%22%20fill=%22%23fff%22%20textLength=%22690%22%3E6.1-6.2%20beta%3C/text%3E%3C/g%3E%3C/svg%3E){kind=small}
Impact
Un utilisateur authentifié ayant accès au service Surveillance Station peut télécharger les images sur l’ensemble du système.
L’impact est limité aux images.
Exploitation
Pour exploiter cette vulnérabilité, il faut plusieurs choses
Tout d’abord, nous avons besoin d’un compte sans permissions sur les dossiers mais disposant d’un accès à l’application Surveillance Station.
Sur un autre compte (le compte “synology” sur le serveur de démonstration) nous devons mettre une image avec des droits par défaut.
La vulnérabilité est présente dans la photo de profil de l’utilisateur pour l’application Surveillance Station.
Le paramètre “filename” permet à l’attaquant de lire les images dans le répertoire parent.
Par exemple, le lien suivant permet d’obtenir l’image “test.jpg” dans le dossier privé de l’utilisateur “synology”.
Nous pouvons également voir une divulgation complète du chemin sur cette image.
Correction
Pour corriger cette vulnérabilité, il faut vérifier que l’utilisateur ai les droits d’accéder au fichier qu’il demande.
Il est aussi possible d’utiliser une liste blanche de dossier autorisé pour la récupération d’image de profil par Surveillance Station.