[TLP:CLEAR] Synology Chat Server opravuje 3 zranitelnosti
Synology verzí 2.4.5-22148 opravuje 3 zranitelnosti v produktu Synology Chat Server [1].
Autentizovanému vzdálenému útočníkovi je prostřednictvím zranitelnosti typu XSS umožněno číst nebo zapisovat libovolné soubory a vykonat útok DoS [1].
Zranitelnost se nachází v produktu Synology Chat Server (DSM) ve verzích (=7.3) OR (=7.2.2) OR (=7.2.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Více informací:
- CVE-2026-40541 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 5. 2026.
Autentizovanému vzdálenému útočníkovi je prostřednictvím zranitelnosti typu XSS umožněno číst nebo zapisovat vybrané soubory a v omezeném rozsahu vykonat útok DoS [1].
Zranitelnost se nachází v produktu Synology Chat Server (DSM) ve verzích (=7.3) OR (=7.2.2) OR (=7.2.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L
Více informací:
- CVE-2026-9548 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 5. 2026.
Autentizovanému vzdálenému útočníkovi je prostřednictvím zranitelnosti typu SSRF umožněno získat informace ze serveru [1].
Zranitelnost se nachází v produktu Synology Chat Server (DSM) ve verzích (=7.3) OR (=7.2.2) OR (=7.2.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Více informací:
- CVE-2026-9491 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 5. 2026.
Za CESNET-CERTS Michaela Jarošová dne 5. 6. 2026.
