Synology Cloud Station Backup for Windows不可信搜索路径漏洞

CVE编号

CVE-2017-11157

利用情况

暂无

补丁情况

N/A

披露时间

2017-08-31
漏洞描述
Synology Cloud Station Backup for Windows是群晖科技(Synology)公司的一款基于Windows的应用程序,可用于备份电脑资料。

基于Windows平台的Synology Cloud Station Backup 4.2.5-4396之前的版本中安装程序存在不可信搜索路径漏洞。本地攻击者可借助当前工作目录下的恶意文件利用该漏洞执行任意代码或实施DLL劫持攻击。(恶意文件包括:(1) shfolder.dll、(2) ntmarta.dll、(3) secur32.dll或(4) dwmapi.dll)
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.synology.com/en-global/support/security/Synology_SA_17_50_Cloud_Station_Backup
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 synology cloud_station_backup * Up to
(including)
4.2.4-4393
CVSS3评分
7.8
  • 攻击路径
    本地
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CWE-ID 漏洞类型
CWE-426 不可信的搜索路径
阿里云安全产品覆盖情况