Synology (群暉科技) 近期修補旗下 MailPlus Server 軟體套件中的三項重大漏洞,該套件用於在 Synology NAS 裝置上運行私有電子郵件基礎設施。
漏洞細節
此次安全性更新修補以下三項漏洞:
- CVE-2026-13136:源於授權檢查機制存在缺陷,可能允許遠端攻擊者讀取或寫入任意檔案,並發動拒絕服務(DoS)攻擊。
- CVE-2026-13135:因通訊管道未妥善限制至預期端點,可能允許遠端攻擊者存取內部服務。
- CVE-2025-15660:因使用密碼學強度不足的偽隨機數產生器(pseudo-random number generator)所致,可能允許鄰近網路的攻擊者讀取或寫入任意檔案,並發動 DoS 攻擊。
目前三項漏洞的詳細技術細節尚未公開。
在 DiskStation Manager(DSM)v7.3、7.2.2 或 7.2.1 上運行 MailPlus Server 的使用者,應升級至近期發布的 4.0.1-31663 版本,因目前並無其他緩解措施可供採用。
逾 2,100 台裝置暴露於網際網路
除技術愛好者使用 Synology NAS 自行架設郵件伺服器外,MailPlus Server 也被中小企業用於在自有硬體上自行架設電子郵件系統,原因包括隱私考量、成本控制或法規遵循需求。
資安業者 Bitsight 旗下的 Groma Explorer 掃描引擎偵測到逾 2,100 台對外公開的 Synology MailPlus Server 部署,主要分布於德國、亞洲地區(韓國、中國、台灣)及美國。
本文轉載自 BleepingComputer。