A Synology, fornecedora de soluções de rede e armazenamento com sede em Taiwan, informou os clientes sobre a disponibilidade de patches para várias vulnerabilidades críticas, incluindo falhas provavelmente exploradas recentemente no concurso de hackers Pwn2Own.

A empresa publicou dois novos avisos críticos no final de dezembro. Um deles descreve uma vulnerabilidade descoberta internamente que afeta o Synology VPN Plus Server, que transforma os roteadores em um servidor VPN avançado.

A falha de segurança, rastreada como CVE-2022-43931, é um problema de gravação fora dos limites na funcionalidade de área de trabalho remota do VPN Plus Server. Ele pode permitir que um invasor remoto execute comandos arbitrários.

O segundo comunicado descreve várias vulnerabilidades que afetam o Synology Router Manager (SRM), o sistema operacional que alimenta os roteadores da empresa. As falhas podem ser exploradas para execução de comandos arbitrários, ataques de negação de serviço (DoS) e leitura de arquivos arbitrários.