VPN Plus Server est un serveur de réseau privé virtuel qui permet aux administrateurs de configurer des routeurs Synology en tant que serveur VPN pour permettre l’accès à distance aux ressources derrière le routeur. Il présente une vulnérabilité de type dépassement de tampon intitulée CVE-2022-43931 dans les versions antérieures à 1.4.3-0534 et 1.4.4-0635.
Avec ladite vulnérabilité, un acteur malveillant pourrait écrire en dehors des limites autorisées dans les fonctionnalités de bureau à distance de Synology VPN Plus Server afin d’exécuter des commandes arbitraires et de corrompre les données de la mémoire.
Cette vulnérabilité est classée critique avec un score CVSSv3 est de 9,8.
RISQUES DE SÉCURITÉ
- Déni de service
- Atteinte à l’intégrité des données de la mémoire
- Atteinte à la disponibilité du système
SYSTEMES AFFECTÉS
- Synology VPN Plus Server dont les versions sont inférieures à 1.4.3-0534 et 1.4.4-0635
MESURES À PRENDRE
- Appliquer les mises à jour vers les versions 1.4.3-0534 et 1.4.4-0635 de Synology VPN Plus Server
Source : Juniper.net
