Mensagens anteriores

A Synology emitiu uma atualização de segurança urgente para os seus dispositivos BeeStation, corrigindo uma vulnerabilidade crítica de execução remota de código (RCE) que foi demonstrada com sucesso durante a recente competição de hacking Pwn2Own Ireland 2025.

A vulnerabilidade CVE-2025-12686

A falha, agora rastreada como CVE-2025-12686, é descrita como um problema de "cópia de buffer sem verificar o tamanho do input". Esta vulnerabilidade permite que um atacante execute código arbitrário no dispositivo.

O problema afeta múltiplas versões do BeeStation OS, o software que alimenta estes populares dispositivos de armazenamento (NAS) da Synology, comercializados como uma solução de "nuvem pessoal" orientada para o consumidor.

Atualização é urgente e sem mitigação

A Synology sublinha que não existem mitigações alternativas para esta vulnerabilidade, pelo que a atualização é crucial. A empresa recomenda que todos os utilizadores atualizem o seu software para as versões mais recentes que corrigem o problema.

De acordo com o comunicado oficial da Synology, a versão corrigida é a 1.3.2-65648 (ou superior).

O palco do Pwn2Own

Esta falha de segurança foi explorada com sucesso a 21 de outubro pelos investigadores "Tek" e "anyfun", da empresa francesa de cibersegurança Synacktiv, durante o Pwn2Own Ireland 2025. A demonstração valeu à dupla um prémio de 40.000 dólares.

O Pwn2Own, organizado pela Zero Day Initiative (ZDI) da Trend Micro, é uma competição de hacking de três dias onde investigadores de segurança têm a oportunidade de explorar dispositivos populares usando vulnerabilidades "zero-day". O evento na Irlanda resultou na descoberta de 73 falhas e distribuiu mais de 1 milhão de dólares em prémios.

A Synology não foi a única visada. Na semana passada, a QNAP também foi forçada a corrigir sete vulnerabilidades "zero-day" demonstradas no mesmo evento. A ZDI retém os detalhes técnicos das falhas até que as correções estejam disponíveis para o público.