Synology corrige um bug de dia zero no BeeStation OS. Os pesquisadores recebem US $ 40.000.

Redazione RHC:12 Novembro 2025 16:02

A Synology corrigiu uma vulnerabilidade de dia zero em seu BeeStation dispositivos, demonstrados durante o recente Pwn2Próprio concorrência. O bug, identificado como CVE-2025-12686, se enquadra na categoria de “cópia de buffer sem validação de tamanho de entrada”, permitindo que um invasor execute código arbitrário no sistema de destino.

O problema afeta várias versões do BeeStation OS, O sistema operacional que gerencia Armazenamento conectado à rede do consumidor (NAS) da Synology dispositivos e é comercializado como um “nuvem pessoal”. Uma correção está incluída na atualização do BeeStation OS para as versões 1.3.2-65648 e posteriores. Não há outras soluções alternativas disponíveis, portanto, os usuários são aconselhados a Instale o firmware mais recente imediatamente.

A vulnerabilidade foi demonstrada por pesquisadores Tek e anyfun da empresa francesa Synacktiv durante o período de Competição Pwn2Own Ireland 2025, que ocorreu em 21 de outubro. A equipe recebeu um Recompensa de US$ 40.000 por explorar o bug com sucesso.

O evento Pwn2Own reúne anualmente pesquisadores de segurança cibernética de todo o mundo, oferecendo-lhes a oportunidade de demonstrar como explorar Vulnerabilidades de dia zero em dispositivos populares. Na competição, realizada na Irlanda, os participantes enviaram 73 falhas anteriormente desconhecidas em vários produtos, ganhando mais um milhão de dólares.

Uma semana antes, outro grande Fabricante de dispositivos NAS, QNAP , também lançou atualizações que abordaram sete vulnerabilidades de dia zero descobertas no mesmo evento.

De acordo com o acordo de divulgação, A ZDI se absterá de publicar detalhes técnicos até que os patches sejam lançados e o período de atualização do usuário expire. Descrições detalhadas das vulnerabilidades devem aparecer no site da iniciativa e nos blogs dos pesquisadores nos próximos meses.