IT之家 11 月 12 日消息,科技媒体 bleepingcomputer 昨日(11 月 11 日)发布博文,报道称群晖(Synology)近日发布安全更新,修复了其个人云产品 BeeStation 中一个严重级别的远程代码执行(RCE)零日漏洞(CVE-2025-12686)。
该漏洞此前在知名的 Pwn2Own 黑客大赛上被公开演示,直接威胁用户的个人数据安全。该漏洞技术根源在于“缓冲区复制时未检查输入大小”,攻击者可以利用此缺陷,在无需物理接触设备的情况下远程执行任意代码,从而可能完全控制受影响的设备。
针对此漏洞,群晖官方安全公告明确指出,目前不存在临时的缓解措施或规避方法。因此,唯一的解决方案就是进行系统升级。群晖强烈建议所有用户尽快将 BeeStation OS 更新至 1.3.2-65648 或以上版本,新版本已完全修复该安全问题。
这一零日漏洞的发现归功于法国网络安全公司 Synacktiv 的两名研究员 ——Tek 和 anyfun。他们在 10 月 21 日举办的 Pwn2Own 爱尔兰 2025 大赛上,成功利用该漏洞攻破了 BeeStation 设备。凭借这次成功的演示,他们获得了由赛事主办方零日倡议(ZDI)颁发的 40000 美元(IT之家注:现汇率约合 28.5 万元人民币)奖金。
0 条