CVE-2024-45538 - Synology DSM CSRF漏洞
概述
CVE-2024-45538是一个存在于Synology DiskStation Manager (DSM) WebAPI框架中的跨站请求伪造(CSRF)漏洞。该漏洞允许远程攻击者通过未指定的向量执行任意代码。
漏洞详情
漏洞描述: 在Synology DiskStation Manager (DSM) 7.2.1-69057-2之前版本、7.2.2-72806之前版本,以及Synology Unified Controller (DSMUC) 3.1.4-23079之前版本中,WebAPI框架存在跨站请求伪造(CSRF)漏洞,远程攻击者可通过未指定的向量执行任意代码。
发布日期:2025年12月4日 15:15 最后修改日期:2025年12月4日 17:15 远程可利用:是 信息来源:security@synology.com
受影响产品
目前尚未记录具体的受影响产品信息。 总受影响供应商:0 | 产品:0
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.6 | CVSS 3.1 | 严重 | - | 2.8 | 6.0 | security@synology.com |
CVSS 3.1详细评分
- 基础CVSS分数:9.6
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:需要
- 范围:已更改
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高
解决方案
更新Synology DSM和DSMUC至最新版本以修复此CSRF漏洞:
- 更新Synology DSM至版本7.2.1-69057-2或更高版本
- 更新Synology DSM至版本7.2.2-72806或更高版本
- 更新Synology DSMUC至版本3.1.4-23079或更高版本
参考链接
- 安全公告:https://www.synology.com/en-global/security/advisory/Synology_SA_24_27
相关CWE
- CWE-352:跨站请求伪造(CSRF)
相关CAPEC攻击模式
- CAPEC-62:跨站请求伪造
- CAPEC-111:JSON劫持(又名JavaScript劫持)
- CAPEC-462:跨域搜索计时
- CAPEC-467:跨站识别
漏洞时间线
- 2025年12月4日:收到来自security@synology.com的新CVE报告
- 添加:漏洞描述
- 添加:CVSS V3.1评分(AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)
- 添加:CWE-352
- 添加:参考链接
EPSS评分
该漏洞的利用预测评分系统(EPSS)提供了未来30天内观察到利用活动的概率估计。相关图表显示了该漏洞的EPSS分数历史记录。
漏洞扫描结果
我们扫描GitHub仓库以检测新的概念验证利用程序。以下列表是在GitHub上发布的公共漏洞利用和概念验证集合(按最近更新排序)。结果限制为前15个仓库,以避免潜在的性能问题。
相关新闻报道
以下列表是文章中提及CVE-2024-45538漏洞的新闻报道。结果限制为前20篇新闻文章,以避免潜在的性能问题。