Vulnerabilidad 0‑day valorada en 40.000 dólares dejó a usuarios sin archivos; actualizar Synology de inmediato es la única forma de evitar su explotación

Vulnerabilidad 0‑day valorada en 40.000 dólares dejó a usuarios sin archivos; actualizar Synology de inmediato es la única forma de evitar su explotación

En Pwn2Own demostraron cómo convertir un servicio de nube personal en un servidor de archivos de acceso público.

image

Synology solucionó una vulnerabilidad de día cero en sus dispositivos BeeStation, demostrada en el reciente concurso Pwn2Own. El fallo recibió el identificador CVE-2025-12686 y pertenece a la categoría «copiar en el búfer sin comprobar el tamaño de los datos de entrada», lo que permite a un atacante ejecutar código arbitrario en el sistema objetivo.

El problema afecta a varias versiones del sistema operativo BeeStation OS, que gestiona los dispositivos NAS de consumo de Synology y se presenta como «nube personal». La corrección está incluida en la actualización BeeStation OS versión 1.3.2-65648 y posteriores. No existen otras maneras de reducir temporalmente el riesgo de explotación; por ello se recomienda a los usuarios instalar inmediatamente la versión actualizada del firmware.

La vulnerabilidad fue demostrada por los investigadores Tek y anyfun de la empresa francesa Synacktiv durante el concurso Pwn2Own Ireland 2025, celebrado el 21 de octubre. Por la explotación exitosa del fallo, el equipo recibió una recompensa de 40 000 dólares.

El evento Pwn2Own reúne cada año a especialistas en seguridad informática de todo el mundo, ofreciéndoles la oportunidad de demostrar la explotación de vulnerabilidades de día cero en dispositivos populares. En el concurso celebrado en Irlanda los participantes presentaron 73 fallos previamente desconocidos en distintos productos y ganaron más de un millón de dólares.

Una semana antes, otro importante fabricante de dispositivos NAS, QNAP, también publicó actualizaciones que corrigen 7 vulnerabilidades de día cero encontradas en el mismo evento.

Según el acuerdo de divulgación, ZDI se abstiene de publicar detalles técnicos hasta que se publiquen las correcciones y concluya el periodo de actualización para los usuarios. Se espera que la descripción detallada de las vulnerabilidades aparezca en el sitio de la iniciativa y en los blogs de los investigadores en los próximos meses.

Las huellas digitales son tu debilidad, y los hackers lo saben

¡Suscríbete y descubre cómo borrarlas!

Noticias sobre el tema

Google declara la guerra a la "mafía del SMS" y lleva a los tribunales a una banda china que estafó a un millón de personas en 120 países

Microsoft corrigió 63 vulnerabilidades de una sola vez, pero los hackers lograron explotar una.

El manto terrestre no es solo una masa pastosa: tiene ondas que, al parecer, arrastran los restos de antiguos continentes por todo el planeta.

En vez de cerveza, solo faxes: la cervecera Asahi perdió mercado y el 90% de su capacidad de producción tras un ciberataque

La IA se convierte en hacker autónomo: ahora los datos los extorsiona un algoritmo autodidacta, no un escolar.

510 segundos de vuelo — y silencio absoluto: el cohete privado Ceres‑1 frustra la colocación en órbita de tres satélites

Broadcom presenta un chip de IA que pone “Ratatouille” en 150 idiomas — pero con una salvedad

WhatsApp en manos de hackers bancarios: el virus Coyote roba sesiones del navegador, infecta a tus contactos y vacía cuentas bancarias

Google hace todo lo posible para que creas en su IA 'privada': la compañía lanzó Private AI Compute