A Synology corrigiu uma vulnerabilidade crítica de execução remota de código (RCE) em seus produtos BeeStation, explorada durante a recente competição de hacking Pwn2Own.
O problema de segurança, identificado como CVE-2025-12686, é causado por uma falha de "buffer copy sem verificação do tamanho da entrada" que pode ser explorada para executar código arbitrário no sistema.
Essa vulnerabilidade afeta várias versões do BeeStation OS, sistema operacional que equipa os dispositivos NAS da Synology, voltados ao mercado consumidor como uma “nuvem pessoal”.
Não há mitigações alternativas para essa falha; por isso, o fabricante recomenda que os usuários atualizem para a versão 1.3.2-65648 do BeeStation OS, ou superior, que já inclui a correção.
A exploração da vulnerabilidade foi demonstrada pelos pesquisadores Tek e anyfun, da empresa francesa de cibersegurança Synacktiv, durante o Pwn2Own Ireland 2025, realizado em 21 de outubro.
Pela descoberta e demonstração bem-sucedida, eles receberam uma recompensa de US$ 40 mil.
O Pwn2Own é uma competição promovida pela Trend Micro e pela Zero Day Initiative (ZDI) que reúne pesquisadores para explorar vulnerabilidades zero-day em dispositivos populares de consumo.
Na edição realizada na Irlanda, foram reveladas 73 falhas zero-day em diversos produtos, com prêmios acumulados superiores a US$ 1 milhão.
Recentemente, outro grande fabricante de NAS, a QNAP, também lançou correções para sete vulnerabilidades zero-day descobertas por white-hat hackers durante o mesmo evento.
A ZDI mantém um acordo de divulgação coordenada com as empresas participantes, adiando a publicação dos detalhes técnicos das vulnerabilidades até que os patches estejam disponíveis e os usuários tenham tempo hábil para atualizar seus dispositivos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...