Synology выпустила срочное предупреждение о безопасности, касающееся критических уязвимостей в десктопном приложении BeeDrive для Windows, которые могут позволить злоумышленникам выполнять произвольный вредоносный код и удалять файлы без авторизации. Три уязвимости получили идентификаторы CVE и классифицированы как "важные", что требует немедленного обновления до последней версии.
Обнаружены критические уязвимости
Проблемы затронули BeeDrive - инструмент для синхронизации и резервного копирования файлов, разработанный Synology для пользователей Windows. Все три уязвимости были обнаружены и сообщены исследователем безопасности Чжао Жуньцзы.
Первая из них, CVE-2025-54158, оценена в 7.8 баллов по шкале CVSS 3.1. Она связана с отсутствием проверки подлинности для критически важных функций и позволяет локальным пользователям с ограниченными правами выполнять произвольный код с повышенными привилегиями. Для эксплуатации этой уязвимости злоумышленнику требуется локальный доступ, но не нужно взаимодействие с пользователем, что делает её особенно опасной в корпоративных сетях.
Вторая уязвимость, CVE-2025-54159, открывает возможность удалённого удаления файлов без авторизации. Она получила оценку 7.5 баллов и наиболее опасна для пользователей, чьи системы доступны извне. Удалённые злоумышленники могут уничтожить критически важные данные или повредить системные файлы без каких-либо дополнительных действий со стороны пользователя.
Третья проблема, CVE-2025-54160, также оценена в 7.8 баллов и представляет собой уязвимость типа "Path Traversal". Локальные пользователи с ограниченными правами могут обходить ограничения директорий и выполнять произвольный код, что создаёт угрозу для целостности системы.
Компания Synology уже выпустила исправленную версию BeeDrive для десктопа - 1.4.2-13960, в которой устранены все перечисленные уязвимости. Пользователям настоятельно рекомендуется немедленно обновить программное обеспечение, поскольку временные меры защиты или обходные пути отсутствуют. Полная техническая информация доступна в официальном бюллетене безопасности Synology-SA-25:08.
Эти инциденты в очередной раз подчёркивают важность своевременного обновления программного обеспечения, особенно для приложений, работающих с конфиденциальными данными. Организации и частные пользователи, использующие BeeDrive на Windows, должны как можно скорее установить патч, чтобы избежать потенциальных атак. Злоумышленники часто эксплуатируют подобные уязвимости в автоматических атаках, поэтому промедление может привести к серьёзным последствиям, включая утечку данных или полный компрометацию системы.
Synology рекомендует также проверить настройки безопасности и ограничить доступ к уязвимым компонентам, если немедленное обновление по каким-либо причинам невозможно. В случае обнаружения подозрительной активности следует обратиться в службу поддержки компании для дальнейшего расследования.
Ссылки
- https://www.synology.com/en-global/security/advisory/Synology_SA_25_08
- https://www.cve.org/CVERecord?id=CVE-2025-54158
- https://www.cve.org/CVERecord?id=CVE-2025-54159
- https://www.cve.org/CVERecord?id=CVE-2025-54160
