Plataforma
synology
Componente
synology-photo-station
Corregido en
6.8.14-3500
La vulnerabilidad CVE-2021-29089 es una inyección SQL detectada en el componente de miniaturas de Synology Photo Station. Esta falla permite a atacantes remotos ejecutar comandos SQL arbitrarios, comprometiendo la integridad y confidencialidad de los datos. Afecta a las versiones de Photo Station anteriores a 6.8.14-3500. Synology ha lanzado una actualización para solucionar esta vulnerabilidad.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a la base de datos de Synology Photo Station. Esto podría resultar en la extracción de información sensible, como nombres de usuario, contraseñas, metadatos de fotos y otros datos almacenados en la aplicación. Además, la ejecución de comandos SQL arbitrarios podría permitir al atacante modificar o eliminar datos, o incluso tomar control del sistema subyacente. La severidad CRÍTICA de esta vulnerabilidad indica un alto riesgo de explotación y un impacto significativo en la seguridad de los sistemas afectados. La naturaleza de la inyección SQL permite una escalada de privilegios significativa, potencialmente permitiendo el acceso a otros sistemas en la red si Photo Station está configurado incorrectamente.
CVE-2021-29089 fue publicado el 2 de junio de 2021. No se ha reportado explotación activa a gran escala, pero la alta puntuación CVSS (9.8) indica una alta probabilidad de explotación si se dispone de un exploit funcional. La vulnerabilidad se encuentra en el catálogo KEV de CISA, lo que subraya su importancia. Se recomienda monitorear activamente los sistemas Synology Photo Station para detectar signos de compromiso.
Organizations and individuals utilizing Synology Photo Station, particularly those with older versions (≤6.8.14-3500), are at risk. Shared hosting environments where multiple users share a Photo Station instance are especially vulnerable, as a compromise of one user's account could potentially expose data for all users on the server.
• synology / server:
journalctl -u photo-station | grep -i "SQL injection"• synology / server:
lsof -i :5000 | grep -i "photo-station"• generic web:
curl -I https://<photo-station-ip>/photo/download.php?file=../../../../etc/passwd | head -n 1disclosure
patch
Estado del Exploit
EPSS
0.82% (74% percentil)
Vector CVSS
La mitigación principal para CVE-2021-29089 es actualizar Synology Photo Station a la versión 6.8.14-3500 o posterior. Si la actualización causa problemas de compatibilidad, considere una reversión a una versión anterior estable antes de aplicar la actualización. Como medida temporal, se recomienda implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas que contengan caracteres SQL inyectados. Revise los registros de Photo Station en busca de patrones de inyección SQL y configure alertas para detectar intentos de explotación. Verifique que las cuentas de usuario tengan los permisos mínimos necesarios para acceder a la base de datos.
Actualice Synology Photo Station a la versión 6.8.14-3500 o posterior. Esta actualización corrige la vulnerabilidad de inyección SQL en el componente de miniaturas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2021-29089 is a critical SQL Injection vulnerability in Synology Photo Station versions up to 6.8.14-3500, allowing attackers to execute arbitrary SQL commands.
You are affected if you are running Synology Photo Station version 6.8.14-3500 or earlier. Upgrade to the latest version immediately.
Upgrade Synology Photo Station to version 6.8.14-3500 or later. If immediate upgrade is not possible, implement temporary workarounds like enhanced log monitoring.
While no confirmed active campaigns are publicly known, the vulnerability's severity makes it a potential target for exploitation.
Refer to the official Synology Security Advisory: https://www.synology.com/en-global/security/advisory/CVE-2021-29089
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.