关键信息总结 漏洞编号: Synology-SA-25:04 SRM 发布日期: 2025-03-14 更新日期: 2025-12-04 严重性: 中等 状态: 已解决 摘要: 多个漏洞允许远程认证用户读取或写入非敏感文件。 CVE编号及细节: - CVE-2025-29843 - 严重性: 中等 - CVSS3 基本评分: 5.4 - CVSS3 向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N - CWE-22: 路径遍历 - 描述: FileStation thumb cgi允许远程认证用户读取/写入图像文件。 - CVE-2025-29844 - 严重性: 中等 - CVSS3 基本评分: 4.3 - CVSS3 向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N - CWE-22: 路径遍历 - 描述: FileStation file cgi允许远程认证用户读取文件元数据和路径信息。 - CVE-2025-29845 - 严重性: 中等 - CVSS3 基本评分: 4.3 - CVSS3 向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N - CWE-22: 路径遍历 - 描述: VideoPlayer2 subtitle cgi允许远程认证用户读取.srt文件。 - CVE-2025-29846 - 严重性: 中等 - CVSS3 基本评分: 7.2 - CVSS3 向量: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H - CWE-22: 路径遍历 - 描述: portenale cgi允许远程认证用户获取已安装包的状态。 致谢: Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group