Đáng chú ý, lỗ hổng được theo dõi có định danh CVE-2024-29241 với điểm CVSS là 9.9 được đánh giá mức độ nghiêm trọng. Lỗ hổng này xảy ra do thiếu xác thực trong thành phần System webapi, có thể cho phép người dùng chưa được xác thực hoàn toàn vượt qua các giải pháp bảo mật. Điều này có thể dẫn đến việc người dùng trái phép truy cập vào hệ thống mà không cần xác thực đúng.

Cùng với đó, hai lỗ hổng khác được định danh là CVE-2024-29228 và CVE-2024-29229 đều có điểm CVSS là 7,7, liên quan đến việc thiếu xác thực trong các thành phần webapi GetStmUrlPath và GetLiveViewPath của phần mềm Surveillance Station.

Hai lỗ hổng trên có thể cho phép người dùng chưa được xác thực từ xa truy cập vào thông tin nhạy cảm thông qua các vector không xác định. Có thể cho phép kẻ tấn công có thể xâm nhập hệ thống và truy cập vào dữ liệu quan trọng mà không cần xác thực đúng.

Bên cạnh đó, một loạt các lỗ hổng SQL Injection đều có điểm CVSS là 5.4 đã được xác định trong các thành phần khác nhau, bao gồm Layout.LayoutSave, SnapShot.CountByCategory và Alert.Enum, và nhiều thành phần khác. Những lỗ hổng này khiến hệ thống dễ bị tấn công SQL command injection từ người dùng từ xa đã được xác thực, bằng cách lợi dụng việc không loại bỏ đúng các thành phần đặc biệt trong lệnh SQL.

Synology đã phát hành các bản vá (dành cho phần mềm phiên bản Surveillance Station 9.2.0-11289 trở lên) và khuyến cáo người dùng cập nhật ngay lập tức để tăng cường bảo mật và giảm thiểu các rủi ro đáng tiếc.