CVE-2025-12686 : Vulnérabilité critique dans Synology BeeStation (CVSS 9.8)
Une faille de sécurité critique portant l'identifiant CVE-2025-12686 et un score CVSS de 9.8 concerne les Synology BeeStation. Elle permet aux pirates d'exécuter du code arbitraire à distance sans authentification et de prendre complètement le contrôle des appareils. La vulnérabilité a été démontrée par des chercheurs en sécurité de l'entreprise Synacktiv dans le cadre du concours Pwn2Own en octobre 2025.
En novembre 2024, Synology avait déjà été victime d'un incident similaire : La vulnérabilité RCE en clic zéro, connue sous le nom de CVE-2024-10443 („RISK:STATION“), permettait à des attaquants non authentifiés d'accéder en tant que root aux appareils BeeStation et DiskStation - également démontrée lors de Pwn2Own Ireland. Il s'agit de la deuxième découverte critique Pwn2Own consécutive chez le même fabricant et souligne le risque vendeur structurel que représentent les produits Synology dans la gestion des risques tiers. Source : SecurityAffairs [https://securityaffairs.com/170602/hacking/synology-fixed-critical-bug-in-diskstation-and-beephotos-nas.html]
Détails techniques de la vulnérabilité
La faille est un buffer overflow classique (CWE-120, copie de la mémoire tampon sans vérification de la taille de l'entrée). La vulnérabilité se trouve dans la méthode auth du point final d'authentification de l'AdminCenter (SYNO.BEE.AdminCenter.Auth). Un attaquant peut provoquer de manière ciblée le débordement de mémoire en envoyant une requête réseau spécialement préparée, dans laquelle le paramètre auth-info est rempli d'une chaîne de caractères manipulée et surdimensionnée. Comme les services web concernés fonctionnent par défaut sur les appareils avec des droits privilégiés, cela permet d'exécuter n'importe quel code avec des droits de root directement sur le système. Aucune interaction de l'utilisateur n'est nécessaire pour que l'attaque réussisse (Zero-Click). La Zero Day Initiative (ZDI) a documenté la vulnérabilité sous les ID suivants ZDI-CAN-28275 et ZDI-25-1039. Les chercheurs de Synacktiv ont reçu un prix de 40.000 dollars pour leur démonstration.
L'analyse technique publiée par Synacktiv montre que la faille ne concerne pas seulement la Synology BeeStation originale, mais qu'elle est également applicable et exploitable sur la BeeStation Plus plus récente. Les modèles anciens et actuels de la gamme de produits sont donc concernés. Les versions logicielles suivantes sont concernées :
Synology BeeStation Manager (BSM) : Toutes les versions avant 1.3.2-65648
Synology BeeStation OS : les versions 1.0.x, 1.1.x, 1.2.x et 1.3.x sont disponibles 1.3.2-65648
Une attaque réussie permet de compromettre complètement l'appareil. Les attaquants peuvent accéder aux données stockées, les manipuler ou les exfiltrer. De plus, le système compromis peut servir de point de départ à d'autres attaques contre le réseau interne de l'entreprise.
Contre-mesures recommandées
Synology a déjà publié le 30 octobre 2025 un Mise à jour de sécurité (Synology_SA_25_12), qui comble la faille. L'installation du correctif est la seule mesure de sécurité fiable.
Action primaire :
Effectuer une mise à jour : Les administrateurs doivent s'assurer que leurs systèmes sont mis à jour vers la version 1.3.2-65648 ou une version plus récente. La mise à jour est fournie par la fonction intégrée de BeeStation Manager (BSM).
Mesures temporaires (si une mise à jour immédiate n'est pas possible) :
Isoler les systèmes : Les appareils BeeStation concernés doivent être déconnectés de l'Internet public.
Limiter l'accès : L'accès à l'interface d'administration doit être limité à un minimum d'adresses IP ou de segments de réseau fiables.
À long terme, il est essentiel de mettre en place une surveillance continue des vulnérabilités et de s'abonner aux alertes de sécurité des fabricants concernés.
Pour les entreprises de l'UE et de la zone DACH, si une instance BeeStation est compromise et que des données personnelles sont concernées, il existe une obligation de notification à l'autorité de protection des données compétente dans les 72 heures, conformément à l'article 33 du RGPD. Les exploitants qui relèvent de la norme NIS-2 sont en outre tenus d'assurer une protection et une notification immédiates. Le BSI recommande en général de patcher immédiatement les appareils NAS exposés à Internet et de ne pas rendre leurs interfaces de gestion directement accessibles depuis Internet.
Gérer les surfaces d'attaque externes et les risques fournisseurs
La vulnérabilité de la Synology BeeStation souligne l'importance de la surveillance continue de la surface d'attaque externe. Souvent, des appareils comme ceux-ci sont utilisés dans des succursales ou pour des projets spécifiques et échappent à la vue de la gestion informatique centrale (Shadow IT). Comme la BeeStation dispose d'une interface de gestion accessible depuis Internet, elle représente un risque direct.
Une solution External Attack Surface Management (EASM) comme LocateRisk identifie automatiquement de tels systèmes accessibles de l'extérieur en surveillant les enregistrements DNS et les plages IP d'une organisation. Cela permet de voir où une instance BeeStation vulnérable est exploitée, même si elle est absente de la base de données des actifs internes - une découverte classique du Shadow IT qui n'est pas saisie par un inventaire purement interne. Parallèlement, Continuous Vendor Risk Management (C-VRM) évalue la sécurité de fabricants comme Synology au fil du temps. Les vulnérabilités critiques récurrentes chez le même fournisseur - comme les découvertes de Pwn2Own en 2024 et 2025 - sont prises en compte dans l'évaluation des risques et peuvent déclencher des processus d'escalade correspondants dans la gestion des fournisseurs. LocateRisk exploite sa plateforme en Allemagne et aide les entreprises à répondre aux exigences du RGPD dans le cadre de leur gestion des risques.
LocateRisk analyse votre infrastructure informatique accessible au public et identifie les risques de sécurité avant que les attaquants ne les exploitent.
CVE-2025-12686 est une vulnérabilité critique (CVSS 9.8) dans Synology BeeStation Manager (BSM) et BeeStation OS. Elle repose sur un débordement de tampon classique (CWE-120) dans le point d'extrémité d'authentification AdminCenter et permet à des attaquants non authentifiés d'exécuter du code arbitraire sur l'appareil affecté via le réseau, sans nécessiter d'interaction de l'utilisateur.
Les versions 1.0.x, 1.1.x, 1.2.x et 1.3.x de Synology BeeStation OS sont concernées. 1.3.2-65648, et Synology BeeStation Manager (BSM) dans toutes les versions. 1.3.2-65648. Le patch est disponible dans la version 1.3.2-65648 que Synology a publié le 30 octobre 2025.
La mesure la plus importante est la mise à jour immédiate vers BeeStation OS ou BSM version 1.3.2-65648 ou plus récent via la fonction de mise à jour intégrée de BeeStation Manager. Si une mise à jour immédiate n'est pas possible, l'appareil concerné doit être isolé de l'Internet public et l'accès à l'interface de gestion doit être limité aux adresses IP de confiance. Le Synology Security Advisory officiel est disponible sous Synology_SA_25_12 peut être consulté.
Demandez maintenant une Démo en direct personelle
Identifiez et réduisez vos cyber-risques grâce à un aperçu comparable et compréhensible de votre sécurité informatique. Demandez conseil à nos experts et découvrez comment LocateRisk peut vous aider à résoudre vos cyber-risques.
En savoir plus, réserver une démo ou simplement échanger quelques mots ? Nous nous en réjouissons !
Nous utilisons des cookies pour optimiser notre site web et nos services.
Fonctionnel
Toujours activé
le stockage technique ou l'accès est strictement nécessaire dans le but légitime de permettre l'utilisation d'un service spécifique expressément demandé par l'abonné ou l'utilisateur, ou dans le seul but d'effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques
Préférences
le stockage ou l'accès technique est nécessaire aux fins légitimes de la conservation des préférences qui n'ont pas été demandées par l'abonné ou l'utilisateur.
Statistiques
le stockage ou l'accès technique, à des fins exclusivement statistiques.le stockage ou l'accès technique, utilisé uniquement à des fins statistiques anonymes. En l'absence d'une citation, d'un accord volontaire de ton fournisseur d'accès à Internet ou d'enregistrements supplémentaires de tiers, les informations stockées ou consultées à cette seule fin ne peuvent généralement pas être utilisées pour t'identifier.
Marketing
Le stockage technique ou l'accès est nécessaire pour créer des profils d'utilisateurs, pour envoyer des publicités ou pour suivre l'utilisateur sur un site web ou sur plusieurs sites web à des fins de marketing similaires.
Français 
Deutsch 
English