CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-9553
https://notcve.org/view.php?id=CVE-2017-9553
24 Jul 2017 — A design flaw in SYNO.API.Encryption in Synology DiskStation Manager (DSM) before 6.1.3-15152 allows remote attackers to bypass the encryption protection mechanism via the crafted version parameter. Un fallo de diseño en el archivo SYNO.API.Encryption en Synology DiskStation Manager (DSM) anterior a versión 6.1.3-15152 permite a los atacantes remotos omitir el mecanismo de protección de encriptación mediante el parámetro de versión creado. • https://www.2-sec.com/2017/06/2-secs-expert-team-uncovers-new-vulnerability-popular-synology-nas-device •
CVSS: 5.3EPSS: 64%CPEs: 1EXPL: 5CVE-2017-9554 – Synology DiskStation Manager (DSM) < 6.1.3-15152 - 'forget_passwd.cgi' User Enumeration
https://notcve.org/view.php?id=CVE-2017-9554
24 Jul 2017 — An information exposure vulnerability in forget_passwd.cgi in Synology DiskStation Manager (DSM) before 6.1.3-15152 allows remote attackers to enumerate valid usernames via unspecified vectors. Una vulnerabilidad de exposición de información en el archivo forget_passwd.cgi en Synology DiskStation Manager (DSM) anterior a la versión 6.1.3-15152, permite a los atacantes remotos enumerar nombres de usuario válidos por medio de vectores no especificados. Synology DiskStation Manager (DMS) versions prior to 6.1.... • https://packetstorm.news/files/id/181198 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2015-4655
https://notcve.org/view.php?id=CVE-2015-4655
18 Jun 2015 — Cross-site scripting (XSS) vulnerability in Synology DiskStation Manager (DSM) before 5.2-5565 Update 1 allows remote attackers to inject arbitrary web script or HTML via the "compound" parameter to entry.cgi. Vulnerabilidad de XSS en Synology DiskStation Manager (DSM) anterior a 5.2-5565 Update 1 permite a atacantes remotos inyectar secuencias de comandos web arbitrarios o HTML a través del parámetro 'compound' en entry.cgi. • http://seclists.org/fulldisclosure/2015/May/109 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •