Synology
國產NAS主要廠商之一的群暉(Synology)近日發布安全公告,修補與Telnet服務相關的重大漏洞CVE-2026-32746,這個漏洞源自GNU Inetutils網路工具套件中的telnetd元件,CVSS嚴重性評分達9.8分,屬於CWE-120緩衝區溢位弱點。問題來自telnetd的LINEMODE SLC處理程序,在寫入資料前未能檢驗緩衝區空間是否足夠, 導致攻擊者可藉此執行越界寫入(out-of-bounds write)的非法存取 。
CVE-2026-32746會影響群暉NAS作業系統DiskStation Manager(DSM)的7.2.1、7.2.2與7.3版,以及UC系列儲存設備DSM UC作業系統的3.1版 。群暉已釋出DSM修補版本,DSM會自動下載並安裝此更新;使用者亦可選擇自行下載更新檔案。至於DSM UC的修補版本目前仍在開發中。
值得注意的是,這次更新,也是群暉繼1月底修補的CVE-2026-24061漏洞, 再次修補telnetd導致的重大漏洞 。除了安裝修補程式外,群暉也建議用戶從DSM控制臺關閉Telnet服務,以降低潛在攻擊風險。
