CERTFR-2025-AVI-0136_Multiples vulnerabilites dans Synology Active Backup for Business

AVIS CERT

CERT-FR

Publié le 17 février 2025 à 08h00 - Mis à jour le 28 février 2025 à 14h04

Objet

Multiples vulnérabilités dans Synology Active Backup for Business

Référence

CERTFR-2025-AVI-0136

Risque(s)

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Contournement de la politique de sécurité

Système(s) affecté(s)

Active Backup for Business versions antérieures à 2.7.1-13234 pour DSM 7.1
Active Backup for Business versions antérieures à 2.7.1-23234 pour DSM 7.2
Active Backup for Business versions antérieures à 2.7.1-3234 pour DSM 6.2

Résumé

De multiples vulnérabilités ont été découvertes dans Synology Active Backup for Business. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une atteinte à l'intégrité des données et un contournement de la politique de sécurité.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

Bulletin de sécurité Synology Synology_SA_25_02 du 13 février 2025 : https://www.synology.com/fr-fr/security/advisory/Synology_SA_25_02
Référence CVE CVE-2024-47264 : https://www.cve.org/CVERecord?id=CVE-2024-47264
Référence CVE CVE-2024-47265 : https://www.cve.org/CVERecord?id=CVE-2024-47265
Référence CVE CVE-2024-47266 : https://www.cve.org/CVERecord?id=CVE-2024-47266

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0136/