Synology schließt kritische Pwn2Own-Sicherheitslücke | heise online

In Synologys BeeStation haben IT-Sicherheitsforscher auf der Pwn2Own 2025 in Irland eine als kritisches Risiko eingestufte Sicherheitslücke aufgedeckt. Updates stehen bereit, um sie zu schließen.

In einer Sicherheitsmitteilung von Synology beschreibt der Hersteller vorerst lediglich, dass Angreifer aus der Ferne beliebigen Code ausführen können (CVE-2025-12686, CVSS 9.8, Risiko „kritisch„). Synology gibt jedoch noch an, dass es sich um eine Lücke mit der Common-Weakness-Enumeration (CWE) CWE-120 handelt: „Pufferkopie ohne Größenprüfung der Eingabe (‚Klassischer Pufferüberlauf‘)“; etwas weniger stakkatoartig auch als „das Produkt kopiert einen Eingabepuffer in einen Ausgabepuffer, ohne zu überprüfen, ob die Größe des Eingabepuffers kleiner ist als die Größe des Ausgabepuffers“ umschrieben.

Die Sicherheitslücke betrifft das Betriebssystem BeeStation OS 1.0, 1.1, 1.2 und 1.3. Synology hat am 30. Oktober bereits die Version BeeStation OS 1.3.2-65648 veröffentlicht, die das Sicherheitsleck stopfen soll.

Eigene Cloud

Synology bewirbt die BeeStations als Systeme, um eine eigene, private Cloud aufzubauen – explizit als Alternative zu Public-Cloud-Systemen. Als Zielgruppe nennt Synology dafür sowohl Privatnutzer wie Familien als auch Teams im Unternehmensumfeld. Admins sollten nicht zögern und prüfen, ob die bereitstehende Aktualisierung bereits auf ihrer BeeStation angekommen und aktiv ist und gegebenenfalls manuell nachholen, sie zu installieren.

Neben den BeeStations waren NAS-Produkte von Qnap ein beliebtes Ziel auf der Pwn2Own 2025, die Entwickler mussten gleich einen Schwung an Sicherheitslücken abdichten. Auch Qnap hält die CVE-Einträge selbst noch zurück, sie behandeln unter anderem als kritisches Risiko eingestufte Schwachstellen. Im Vorjahr hatte Synology ebenfalls Sicherheitslücken geschlossen, die auf der damaligen Pwn2Own-Veranstaltung demonstriert wurden.

(dmk)