Корпоративные системы обмена сообщениями всё чаще становятся мишенью злоумышленников. На этот раз под удар попал Synology Chat Server - популярный пакет для DSM (операционной системы сетевых хранилищ Synology). В конце мая 2026 года вендор выпустил экстренное обновление, закрывающее сразу три уязвимости. Две из них оценены как опасные, а одна - как критическая. Проблема затрагивает все поддерживаемые версии DSM: 7.2.1, 7.2.2 и 7.3.
Детали уявзимостей
Согласно бюллетеню безопасности Synology_SA_26_10, наибольшую угрозу представляет уязвимость CVE-2026-40541 с базовым баллом CVSS 9.0. Она позволяет удалённому аутентифицированному пользователю читать и записывать произвольные файлы на сервере, а также проводить атаки типа "отказ в обслуживании". Причина - некорректная нейтрализация входных данных при генерации веб-страниц, то есть классическая межсайтовая уязвимость (XSS). Злоумышленник может внедрить вредоносный скрипт в чат, который затем выполнится в браузере другого участника. В результате атакующий получает возможность манипулировать файловой системой и выводить сервер из строя.
Вторая уязвимость, CVE-2026-9491, получила статус умеренной (4.3 балла). Она связана с техникой SSRF, то есть подделкой запросов на стороне сервера. Аутентифицированный пользователь может заставить сервер отправлять сетевые запросы к внутренним ресурсам, недоступным извне. Хотя разработчики заявляют, что таким образом можно получить лишь нечувствительную информацию, на практике любая утечка данных о топологии сети или конфигурации повышает риск дальнейших атак.
Третья уязвимость CVE-2026-9548 (6.5 балла) также основана на XSS и позволяет читать или записывать ограниченный набор файлов, а также вызывать частичный отказ в обслуживании. Важно отметить, что все три бреши эксплуатируются только после аутентификации, то есть злоумышленнику сначала нужно получить учётную запись в системе чата. Тем не менее в крупных организациях такая угроза вполне реальна: внутренние пользователи могут быть скомпрометированы через фишинг или другие методы.
С точки зрения последствий, комбинация этих уязвимостей создает серьёзные риски для целостности данных и конфиденциальности. К примеру, XSS позволяет не только похитить сессионные токены, но и выполнить произвольный код в контексте браузера жертвы. А SSRF даёт возможность сканировать внутреннюю сеть и обращаться к API других устройств NAS. В худшем сценарии злоумышленник может полностью скомпрометировать сервер чата, а затем использовать его как плацдарм для атак на другие системы в той же подсети.
Разработчик Synology уже выпустил исправление в версии пакета Chat Server 2.4.5-22148. Обновление доступно для всех затронутых версий DSM. Администраторам настоятельно рекомендуется установить его в кратчайшие сроки. Никаких обходных мер защиты вендор не предлагает - только обновление. Поэтому откладывать патч не стоит.
Для специалистов по информационной безопасности это ещё одно напоминание: даже узкоспециализированные компоненты, такие как корпоративный чат, требуют регулярного мониторинга обновлений. Атаки через SSRF и XSS остаются одними из самых распространённых векторов, поэтому настройка строгих политик сетевого доступа и фильтрация пользовательского ввода остаются критически важными. Впрочем, в данном случае основная ответственность лежит на производителе, который оперативно закрыл брешь.
Таким образом, владельцы Synology NAS, использующие пакет Chat Server, должны немедленно проверить версию своего программного обеспечения. Если она ниже 2.4.5-22148, нужно запустить обновление через центр пакетов DSM. Промедление может стоить не только работоспособности сервера, но и безопасности хранящихся на нём данных.
Ссылки
