上週NAS廠商群輝更新去年發布的一系列資安公告,這些漏洞是去年10月舉行的漏洞挖掘競賽Pwn2Own Ireland 2024期間找到,其中有一項資安公告Synology-SA-24:24與網路攝影機的韌體有關,如今他們公布細節,提醒用戶提高警覺。
這項漏洞被登記為CVE-2024-11131,影響BC500、CC400W、TC500等3款網路攝影機產品的韌體,CVSS風險評為9.8分,去年11月群暉發布1.2.0-0525版韌體修補。
針對漏洞發生的原因,群暉指出是錄影介面出現記憶體越界讀取(OBR)的情況,使得攻擊者有機會遠端執行任意程式碼(RCE)。
