关键漏洞信息 漏洞标识 通报编号: Synology-SA-18:51 DSM CVE编号: - CVE-2018-13291 - CVE-2018-13293 发布与更新 发布日期: 2018-08-29 14:14:12 UTC+8 最后更新: 2019-12-17 15:55:48 UTC+8 严重程度与状态 严重性: 中等 状态: 已解决 漏洞摘要 这些漏洞允许远程认证用户获取敏感信息或通过易受攻击的版本的Synology DiskStation Manager (DSM)注入任意的Web脚本或HTML。 影响的产品 缓解措施 暂无。 详细信息 CVE-2018-13291: - 严重性: 中等 - CVSS3基本分数: 4.3 - CVSS3向量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N - 在6.2.1-23824之前的Synology DiskStation Manager (DSM)中,/usr/syno/etc/mount.conf中的信息暴露漏洞允许远程认证用户通过可读取的配置获取敏感信息。 CVE-2018-13293: - 严重性: 中等 - CVSS3基本分数: 5.9 - CVSS3向量: CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L - 在6.2.1-23824之前的Synology DiskStation Manager (DSM)中,控制面板SSO设置中的跨站脚本(XSS)漏洞允许远程认证用户通过URL参数注入任意的Web脚本或HTML。 致谢 Maximilian Tews (www.linkedin.com/in/maximilian-tews) Muhammad Junaid Abdullah (https://twitter.com/snoviboy) 修订历史