Компания Synology опубликовала патчи для почтового сервера MailPlus Server в среде DSM, устраняющие несколько уязвимостей, две из которых получили статус критических и позволяют удалённо манипулировать файлами. Проблемы были обнаружены исследователями в рамках программы Zero Day Initiative, а также сотрудниками ABBA Labs.
Детали уязвимостей
Уведомление о безопасности вышло 26 июня 2026 года. Пользователям настоятельно рекомендуется установить свежие версии пакета: для DSM 7.3 - не ниже 4.0.1-31663, для DSM 7.2.1 и 7.2.2 - не ниже 4.0.1-21663. Всего устранено три уязвимости: две с максимальной степенью опасности (Critical) и одна умеренная (Moderate).
Наиболее опасная уязвимость CVE-2026-13136 имеет наивысший балл по CVSS 10,0. Ошибка неправильной авторизации (CWE-863) позволяет злоумышленнику удалённо отправлять специально сформированные запросы и добиваться чтения и записи произвольных файлов на сервере. При успешной эксплуатации атакующий может получить полный контроль над файловой системой и выполнить DoS-атаку (отказ в обслуживании). Вектор атаки: сетевой, без необходимости аутентификации или взаимодействия с пользователем. Поскольку уязвимость затрагивает распространённые корпоративные почтовые системы, риск массовой эксплуатации оценивается как высокий.
Вторая критическая уязвимость CVE-2025-15660 получила оценку 9,6 балла. Она связана с использованием криптографически слабого генератора псевдослучайных чисел (CWE-338) и доступна только с соседних устройств (вектор Adjacent). Тем не менее, если атакующий находится в той же сети (например, через скомпрометированный Wi-Fi или локальную сеть организации), он может, не проходя аутентификацию, читать и записывать файлы, а также вызывать отказ в обслуживании. Уязвимость была обнаружена исследователем gcali, работающим с Trend Micro Zero Day Initiative, что говорит о серьёзности угрозы.
Умеренная уязвимость CVE-2026-13135 с базовым score 5,3 балла связана с неправильными ограничениями каналов связи (CWE-923). Она позволяет удалённому атакующему получить доступ к внутренним сервисам Synology MailPlus Server, например, к служебным портам, которые не должны быть видны извне. Хотя напрямую целостность и конфиденциальность данных не нарушаются, раскрытие таких служб может быть использовано для разведки или как этап более сложной атаки.
Все три уязвимости резервированы и подробные технические описания пока не раскрыты, однако Synology рекомендует незамедлительно установить обновления. Временные меры защиты производитель не предлагает, поэтому наиболее действенный способ - обновление пакета. Администраторам корпоративных сетей стоит также проверить журналы доступа и применить ограничения на сетевом уровне, если немедленное обновление невозможно.
Пользователям, работающим с Synology MailPlus Server, следует через интерфейс Package Center в DSM выполнить обновление до указанных версий. Для DSM 7.3 это версия 4.0.1-31663, для DSM 7.2.1 и 7.2.2 - 4.0.1-21663. После установки патча рекомендуется перезагрузить сервер и проверить работоспособность почтового сервиса.
Уязвимости затронули сотни тысяч систем по всему миру: Synology MailPlus Server - популярное решение для малого и среднего бизнеса, часто используемое как основной почтовый шлюз. Критический характер первой проблемы означает, что злоумышленник может получить удалённый доступ к серверу без каких-либо предварительных условий и затем действовать с привилегиями самого сервиса. В сочетании с широкой зоной поражения это делает выпущенный патч срочным.
Развитие событий подчёркивает тенденцию: почтовые серверы продолжают оставаться привлекательной целью для атак, особенно в корпоративной среде. Synology реагирует оперативно, но практика показывает, что окно между публикацией информации и началом активной эксплуатации может быть коротким. Администраторам стоит включить автоматическое обновление критических пакетов там, где это допустимо по политике безопасности.
Ссылки
