Synology修复Pwn2Own Ireland演示的BeeStation零日漏洞

Synology已修复BeeStation产品中的一个关键严重性远程代码执行（RCE）漏洞，该漏洞在最近的Pwn2Own黑客竞赛中被演示。

安全问题（CVE-2025-12686）被描述为“缓冲区复制未检查输入大小”问题，可被利用以允许任意代码执行。

它影响BeeStation OS的多个版本，该软件为Synology的网络附加存储（NAS）设备提供支持，这些设备被定位为面向消费者的“个人云”。

目前没有可用的缓解措施，因此供应商建议用户升级到以下版本以解决问题：

法国网络安全公司Synacktiv的研究人员Tek和anyfun在10月21日的Pwn2Own Ireland 2025比赛演示中利用了该漏洞。这两位研究人员因成功利用获得了4万美元的奖励。

Pwn2Own是由趋势科技和零日计划（ZDI）组织的为期三天的黑客竞赛，为安全研究人员提供了使用零日漏洞攻击流行消费设备的机会。

最近在爱尔兰举行的活动中，研究人员展示了跨越广泛产品的73个零日漏洞，并赢得了超过100万美元的奖金。

上周，另一家主要NAS供应商QNAP修复了该公司多个设备中的总共七个零日漏洞，白帽黑客在今年Pwn2Own Ireland上展示了这些漏洞。

ZDI与参加Pwn2Own的公司有披露协议，在补丁可用且用户有足够时间应用更新之前，暂不发布安全问题的技术细节。

有关这些漏洞的更多细节将在未来几个月在ZDI的公告板上披露，在某些情况下，也会在研究人员的个人博客空间中披露。