CVE-2025-12686: Kritische Schwachstelle in Synology BeeStation (CVSS 9.8)

Technische Details der Schwachstelle

Bei der Lücke handelt es sich um einen klassischen Buffer Overflow (CWE-120, Buffer copy without checking size of input). Die Schwachstelle befindet sich innerhalb der auth-Methode des Authentifizierungs-Endpunkts des AdminCenters (SYNO.BEE.AdminCenter.Auth). Ein Angreifer kann durch das Senden einer speziell präparierten Netzwerkanfrage, bei welcher der Parameter auth-info mit einer manipulierten, übergroßen Zeichenkette befüllt ist, den Speicherüberlauf gezielt provozieren. Da die betroffenen Web-Dienste auf den Geräten standardmäßig mit privilegierten Rechten laufen, ermöglicht dies die Ausführung von beliebigem Code mit Root-Rechten direkt auf dem System. Für einen erfolgreichen Angriff ist keine Benutzerinteraktion erforderlich (Zero-Click). Die Zero Day Initiative (ZDI) dokumentierte die Schwachstelle unter den IDs ZDI-CAN-28275 und ZDI-25-1039. Die Forscher von Synacktiv erhielten für ihre Demonstration ein Preisgeld von 40.000 US-Dollar.

Die von Synacktiv veröffentlichte technische Analyse zeigt, dass die Schwachstelle nicht nur die ursprüngliche Synology BeeStation betrifft, sondern ebenfalls auf der neueren BeeStation Plus anwendbar bzw. ausnutzbar ist. Betroffen sind damit sowohl ältere als auch aktuelle Modelle der Produktreihe. Folgende Softwareversionen sind betroffen:

• Synology BeeStation Manager (BSM): Alle Versionen vor 1.3.2-65648
• Synology BeeStation OS: Versionen 1.0.x, 1.1.x, 1.2.x und 1.3.x vor 1.3.2-65648

Ein erfolgreicher Angriff ermöglicht die vollständige Kompromittierung des Geräts. Angreifer können auf gespeicherte Daten zugreifen, diese manipulieren oder exfiltrieren. Zudem kann das kompromittierte System als Ausgangspunkt für weitere Angriffe auf das interne Unternehmensnetzwerk dienen.

Empfohlene Gegenmaßnahmen

Synology veröffentlichte bereits am 30. Oktober 2025 ein Sicherheitsupdate (Synology_SA_25_12), das die Schwachstelle schließt. Die öffentliche Bekanntgabe im Security Advisory erfolgte am 10. November 2025. Die Installation des Patches ist die einzig zuverlässige Maßnahme zur Absicherung.

Primäre Maßnahme:

• Update durchführen: Administratoren müssen sicherstellen, dass ihre Systeme auf die Version 1.3.2-65648 oder eine neuere Version aktualisiert werden. Das Update wird über die integrierte Funktion des BeeStation Managers (BSM) bereitgestellt.

Temporäre Maßnahmen (falls ein sofortiges Update nicht möglich ist):

• Systeme isolieren: Betroffene BeeStation-Geräte sollten vom öffentlichen Internet getrennt werden.
• Zugriff beschränken: Der Zugriff auf die Verwaltungsoberfläche sollte auf ein Minimum an vertrauenswürdigen IP-Adressen oder Netzwerksegmenten eingeschränkt werden.

Langfristig ist die Etablierung eines kontinuierlichen Schwachstellen-Monitorings und das Abonnieren von Sicherheitswarnungen relevanter Hersteller essenziell.

Für Unternehmen in der EU und im DACH-Raum gilt: Wird eine BeeStation-Instanz kompromittiert und sind personenbezogene Daten betroffen, besteht gemäß DSGVO Art. 33 eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde innerhalb von 72 Stunden. Betreiber, die unter NIS-2 fallen, sind zusätzlich zur unverzüglichen Absicherung und Meldung verpflichtet. Das BSI empfiehlt generell, NAS-Geräte mit Internetexposition umgehend zu patchen und deren Verwaltungsoberflächen nicht direkt aus dem Internet erreichbar zu machen.

Externe Angriffsflächen und Lieferantenrisiken managen

Die Schwachstelle in der Synology BeeStation unterstreicht die Bedeutung der kontinuierlichen Überwachung der externen Angriffsfläche. Oft werden Geräte wie diese in Zweigstellen oder für spezifische Projekte eingesetzt und geraten aus dem Blickfeld des zentralen IT-Managements (Schatten-IT). Da die BeeStation über eine aus dem Internet erreichbare Verwaltungsoberfläche verfügt, stellt sie ein direktes Risiko dar.

Eine External Attack Surface Management (EASM) Lösung wie LocateRisk identifiziert solche extern erreichbaren Systeme automatisiert, indem sie die DNS-Einträge und IP-Bereiche einer Organisation überwacht. So wird sichtbar, wo eine verwundbare BeeStation-Instanz betrieben wird, selbst wenn sie in der internen Asset-Datenbank fehlt — ein klassischer Schatten-IT-Befund, der durch rein interne Inventarisierung nicht erfasst wird. Parallel dazu bewertet Continuous Vendor Risk Management (C-VRM) die Sicherheit von Herstellern wie Synology über Zeit. Wiederholt auftretende kritische Schwachstellen beim selben Anbieter — wie die Pwn2Own-Funde 2024 und 2025 — fließen in die Risikobewertung ein und können entsprechende Eskalationsprozesse im Lieferantenmanagement auslösen. LocateRisk betreibt seine Plattform in Deutschland und unterstützt Unternehmen bei der Erfüllung von DSGVO-Anforderungen im Rahmen ihres Risikomanagements.

Quellen und weiterführende Informationen

• Synology Security Advisory: Synology_SA_25_12
• Technische Analyse von Synacktiv: Breaking the BeeStation: Inside our Pwn2Own 2025 Exploit Journey
• CIRCL CVE-Datenbank: CVE-2025-12686
• Berichterstattung von BleepingComputer: Synology fixes BeeStation zero-days demoed at Pwn2Own Ireland
• Vorfall 2024 (CVE-2024-10443 / RISK:STATION): SecurityAffairs

—

Kennen Sie Ihre externe Angriffsfläche?

LocateRisk analysiert Ihre öffentlich erreichbare IT-Infrastruktur und identifiziert Sicherheitsrisiken, bevor Angreifer sie ausnutzen.

Kostenlosen Sicherheits-Check starten

Häufige Fragen

---

Was ist CVE-2025-12686?

CVE-2025-12686 ist eine kritische Sicherheitslücke (CVSS 9.8) in Synology BeeStation Manager (BSM) und BeeStation OS. Sie beruht auf einem klassischen Pufferüberlauf (CWE-120) im AdminCenter-Authentifizierungs-Endpunkt und erlaubt unauthentifizierten Angreifern, über das Netzwerk beliebigen Code auf dem betroffenen Gerät auszuführen, ohne dass eine Benutzerinteraktion erforderlich ist.

---

Welche Versionen sind betroffen und welche Version enthält den Patch?

Betroffen sind Synology BeeStation OS in den Versionen 1.0.x, 1.1.x, 1.2.x sowie 1.3.x vor 1.3.2-65648, sowie Synology BeeStation Manager (BSM) in allen Versionen vor 1.3.2-65648. Der Patch ist in Version 1.3.2-65648 enthalten, die Synology am 30. Oktober 2025 veröffentlicht hat.

---

Was sollten Administratoren jetzt tun?

Die wichtigste Maßnahme ist das sofortige Update auf BeeStation OS bzw. BSM Version 1.3.2-65648 oder neuer über die integrierte Update-Funktion des BeeStation Managers. Ist ein sofortiges Update nicht möglich, sollte das betroffene Gerät vom öffentlichen Internet isoliert und der Zugriff auf die Verwaltungsoberfläche auf vertrauenswürdige IP-Adressen beschränkt werden. Das offizielle Synology Security Advisory ist unter Synology_SA_25_12 abrufbar.

Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!

Ihr AnsprechpartnerLukas BaumannCEO

+49 6151 6290246

Jetzt Kontakt aufnehmen

Home

Blog

Über uns

Kontakt

Impressum

Datenschutz

AGB

Jobs

Security

Trust Center

© LocateRisk 2026