CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-11160
https://notcve.org/view.php?id=CVE-2017-11160
Multiple untrusted search path vulnerabilities in installer in Synology Assistant before 6.1-15163 on Windows allows local attackers to execute arbitrary code and conduct DLL hijacking attack via a Trojan horse (1) shfolder.dll, (2) ntmarta.dll, (3) secur32.dll or (4) dwmapi.dll file in the current working directory. Múltiples vulnerabilidades de ruta de búsqueda no confiable en installer en Synology Assistant en versiones anteriores a la 6.1-15163 en Windows permite que atacantes locales ejecuten código arbitrario y lleven a cabo un secuestro de DLL mediante un archivo troyano (1) shfolder.dll, (2) ntmarta.dll, (3) secur32.dll or (4) dwmapi.dll en el directorio de trabajo actual. • https://www.synology.com/en-global/support/security/Synology_SA_17_44_Synology_Assistant • CWE-426: Untrusted Search Path •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2017-11150
https://notcve.org/view.php?id=CVE-2017-11150
Command injection vulnerability in Document.php in Synology Office 2.2.0-1502 and 2.2.1-1506 allows remote authenticated users to execute arbitrary commands via shell metacharacters in the crafted file name of RTF documents. Una vulnerabilidad de inyección de comandos en Document.php en Synology Office 2.2.0-1502 y 2.2.1-1506 permite que usuarios remotos autenticados ejecuten comandos arbitrarios mediante metacaracteres shell en el nombre del archivo manipulado de documentos RTF. • https://www.synology.com/en-global/support/security/Synology_SA_17_26_Office • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 6.5EPSS: 0%CPEs: 33EXPL: 0CVE-2017-11149
https://notcve.org/view.php?id=CVE-2017-11149
Server-side request forgery (SSRF) vulnerability in Downloader in Synology Download Station 3.8.x before 3.8.5-3475 and 3.x before 3.5-2984 allows remote authenticated users to download arbitrary local files via crafted URI. Una vulnerabilidad de tipo server-side request forgery (SSRF) en Downloader en Synology Download Station 3.8.x en versiones anteriores a la 3.8.5-3475 y 3.x en versiones anteriores a la 3.5-2984 permite que usuarios remotos autenticados descarguen archivos locales arbitrarios mediante URI manipulada. • https://www.synology.com/en-global/support/security/Synology_SA_17_28_Download_Station • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 7.8EPSS: 0%CPEs: 33EXPL: 0CVE-2017-11156
https://notcve.org/view.php?id=CVE-2017-11156
Synology Download Station 3.8.x before 3.8.5-3475 and 3.x before 3.5-2984 uses weak permissions (0777) for ui/dlm/btsearch directory, which allows remote authenticated users to execute arbitrary code by uploading an executable via unspecified vectors. Synology Download Station 3.8.x en versiones anteriores a la 3.8.5-3475 y 3.x en versiones anteriores a la 3.5-2984 emplea permisos débiles (0777) para el directorio ui/dlm/btsearch, lo que permite que usuarios remotos autenticados ejecuten código arbitrario mediante la subida de un archivo ejecutable usando vectores sin especificar. • https://www.synology.com/en-global/support/security/Synology_SA_17_28_Download_Station • CWE-276: Incorrect Default Permissions CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2017-9556
https://notcve.org/view.php?id=CVE-2017-9556
Cross-site scripting (XSS) vulnerability in Video Metadata Editor in Synology Video Station before 2.3.0-1435 allows remote authenticated attackers to inject arbitrary web script or HTML via the title parameter. Una vulnerabildad de tipo Cross-Site Scripting (XSS) en Video Metadata Editor en Synology Video Station en versiones anteriores a la 2.3.0-1435 permite que atacantes remotos autenticados inyecten script web o HTML arbitrario mediante el parámetro título. • https://www.synology.com/en-global/support/security/Synology_SA_17_39_Video_Station • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •