Allgemein
scipID: 75662 Betroffen: Synology Photo Station 6.2-2858 Veröffentlicht: 25.05.2015 Risiko: kritisch Erstellt: 02.06.2015 Eintrag: 72.5% komplett
Beschreibung
Eine kritische Schwachstelle wurde in Synology Photo Station 6.2-2858 ausgemacht. Dies betrifft eine unbekannte Funktion der Datei /photo/webapi/photo.php. Durch Manipulation mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit. Die Schwachstelle wurde am 25.05.2015 in Form eines bestätigten Mailinglist Posts (Full-Disclosure) veröffentlicht. Auf kann das Advisory eingesehen werden. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind sowohl technische Details als auch ein Exploit zur Schwachstelle bekannt. Er wird als hoch funktional gehandelt. Potentiell verwundbare Systeme können mit dem Google Dork gefunden werden. Ein Upgrade auf die Version 6.3-2945 vermag dieses Problem zu beheben. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force () dokumentiert. Unter werden zusätzliche Informationen bereitgestellt.
CVSS
Base Score: 7.5 (CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P) Temp Score: 6.5 (CVSS2#E:H/RL:OF/RC:C)
CPE
Exploiting
Klasse: SQL Injection Lokal: Nein Remote: Ja Verfügbarkeit: Ja Status: Hoch funktional Google Hack:
Gegenmassnahmen
Empfehlung: Upgrade Status: Offizieller Fix 0-Day Time: 0 Tage seit gefunden Upgrade: Photo Station 6.3-2945
Timeline
25.05.2015 | 02.06.2015 | 02.06.2015 |
Quellen
Advisory: Status: Bestätigt X-Force:
Bang Roy Han