Hack Alerta

Synology corrige RCE crítico em BeeStation OS (CVE-2025-12686) com pontuação CVSS 9.8

Por Redação Hack Alerta Publicado em 11/11/2025 12:02 Riscos e Ameaças Tempo de leitura: 3 min

Synology lançou patch de emergência para CVE-2025-12686, um buffer overflow remoto em BeeStation OS com CVSS 9.8 que permite execução de código sem autenticação; atualize para as builds 1.3.2-65648+ imediatamente, pois não há mitigação conhecida.

Synology publicou atualização urgente para BeeStation OS após divulgação de uma vulnerabilidade de execução remota de código sem autenticação, identificada como CVE-2025-12686 (ZDI‑CAN‑28275) e com CVSS3 base de 9.8, que afeta dispositivos BeeStation e permite comprometimento total via rede.

Resumo técnico

O problema é um buffer overflow (CWE‑120) em BeeStation OS que permite a um atacante remoto, sem necessidade de autenticação ou interação do usuário, enviar entradas malformadas que corrompem memória e possibilitam execução arbitária de código. O vetor CVSS reportado é AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, indicando baixa complexidade de exploração e impacto completo sobre confidencialidade, integridade e disponibilidade.

Produtos afetados e correção

Synology disponibilizou updates para as versões afetadas do sistema BeeStation. O fabricante lista atualizações para BeeStation OS 1.0, 1.1, 1.2 e 1.3 que movem as builds para 1.3.2-65648+. As fontes afirmam que não há mitigações temporárias conhecidas, tornando a aplicação do patch a defesa viável e necessária.

Contexto e divulgação

A falha foi reportada pelo programa Zero Day Initiative (ZDI) e recebeu identificação ZDI‑CAN‑28275. A combinação de baixa barreira de exploração (rede, sem autenticação) e ausência de workarounds elevam a prioridade de patch em ambientes com BeeStation expostos ou em redes internas que aceitam conexões não confiáveis.

Impacto e recomendações

  • Organizações com dispositivos BeeStation devem identificar versões instaladas e aplicar as builds 1.3.2-65648+ imediatamente.
  • Para dispositivos expostos à internet, isolar o gerenciamento e restringir acessos via controles de rede (VPN/ACL) até a correção ser aplicada.
  • Monitorar logs e comportamento anômalo em dispositivos que não puderem ser atualizados imediatamente e considerar mitigação por bloqueio de portas e detecção de payloads conhecidos.

Limitações das fontes

Os relatórios confirmam o CVE, a pontuação CVSS e as builds de atualização publicadas pela Synology. Não há, nas fontes citadas, indicações públicas de exploração massiva em curso no momento da divulgação; as análises ressaltam, porém, a facilidade de exploração em ambiente de rede.

Implicações para gestão de risco

Falhas RCE com vetor de rede e sem exigência de autenticação representam risco sistêmico a ambientes de borda e de armazenamento embarcado; equipes de segurança devem priorizar inventário de ativos, segmentação e aplicação de correções, além de revisar políticas de exposição de serviços de gerenciamento em equipamentos IoT/edge.

Baseado em publicação original de Cyber Security News
Tags: #synology #beestation #cve-2025-12686 #rce #cvss-9.8 #firmware #patch #zero-day #zdi
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar