Synology, Windows için Beedrive masaüstü uygulamasında, saldırganların kötü amaçlı kod yürütmesine ve keyfi dosyaları silmesine izin verebilecek kritik güvenlik açıklarını ele alan acil bir güvenlik danışmanlığı yayınladı.
Şirket, 22 Temmuz 2025’te üç ayrı ortak güvenlik açığı ve maruziyet (CVE) tanımlayıcısını açıkladı ve hepsi “önemli” şiddet derecelendirmeleri ile sınıflandırıldı ve anında kullanıcı eyleminin en son yamalı sürüme yükseltilmesini istedi.
Kritik güvenlik kusurları keşfedildi
Güvenlik açıkları, Windows kullanıcıları için tasarlanmış Synology’nin Dosya Senkronizasyonu ve Yedekleme Aracı Masaüstü için Beedrive’ı etkiler.
| CVE kimliği | Şiddet | CVSS Puanı | Saldırı vektörü | Tanım |
| CVE-2025-54158 | Önemli | 7.8 | Yerel | Eksik Kimlik Doğrulama – Rasgele Kod Yürütme |
| CVE-2025-54159 | Önemli | 7.5 | Uzak | Eksik Yetkilendirme – Rasgele Dosya Silinmesi |
| CVE-2025-54160 | Önemli | 7.8 | Yerel | Yol geçiş – keyfi kod yürütme |
Güvenlik araştırmacıları Zhao Runzi, sistem bütünlüğü ve veri güvenliği için toplu olarak önemli riskler oluşturan bu kusurları keşfetti ve bildirdi.
Güvenlik açıkları, hem yerel hem de uzak saldırı vektörlerini mümkün kılar, bu da onları özellikle işletme ve bireysel kullanıcılarla ilgili hale getirir.
- CVE-2025-54158 Doğrulanmış yerel kullanıcıların yüksek ayrıcalıklarla keyfi kod yürütmesine izin veren en şiddetli yerel ayrıcalık artış kusurunu temsil eder. Bu güvenlik açığı, kritik işlevler için eksik kimlik doğrulama kontrollerinden kaynaklanmaktadır ve 7.8 CVSS 3.1 baz puanı taşır. Saldırı vektörü, düşük ayrıcalıklar ve kullanıcı etkileşimi ile yerel erişim gerektirir ve potansiyel olarak saldırganların tam sistem kontrolü kazanmasını sağlar.
- CVE-2025-54159 Uzak dosya silme yetenekleri yoluyla farklı ama eşit derecede ciddi bir tehdit oluşturur. 7.5 CVSS puanı ile bu güvenlik açığı, kimlik doğrulanmamış uzak saldırganların kullanıcı etkileşimi olmadan keyfi dosyaları silmesini sağlar. Kusur, eksik yetkilendirme mekanizmalarından kaynaklanır ve saldırganların kritik verileri veya sistem dosyalarını uzaktan potansiyel olarak yok etmesini sağlar.
- CVE-2025-54160 CVSS ölçeğinde 7.8 puan alan başka bir yerel kod yürütme güvenlik açığı ile üçlüyü tamamlar. Bu yol geçiş güvenlik açığı, sınırlı dizinlerdeki uygunsuz yol adı sınırlamalarını kullanarak sınırlı ayrıcalıklara sahip yerel kullanıcıların keyfi kod yürütmelerini sağlar.
Synology, her üç güvenlik açıkının da ele alınması için masaüstü sürüm 1.4.2-13960 için Beedrive’ı piyasaya sürdü. Bu güvenlik kusurları için hiçbir geçici çözüm veya hafifletme bulunmadığından kullanıcılar hemen yükseltmelidir.
Şirketin Güvenlik Danışmanlığı Synology-SA-25: 08, kapsamlı teknik detaylar ve yükseltme talimatları sağlar.
Bu güvenlik açıkları, özellikle hassas veri senkronizasyonunu işleyen uygulamalar için güncel yazılım kurulumlarını sürdürmenin kritik önemini vurgulamaktadır.
Windows sistemlerinde masaüstü için Beedrive çalışan kuruluşlar ve bireysel kullanıcılar, bu ciddi güvenlik kusurlarının potansiyel kullanımı önlemek için bu güvenlik güncellemesine öncelik vermelidir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now