11月12日,科技媒体bleepingcomputer昨日(11月11日)发文报道,群晖(Synology)近日发布一项安全更新,修复了其个人云产品BeeStation中一个严重级别的远程代码执行(RCE)零日漏洞(CVE-2025-12686)。
这一漏洞曾在知名的Pwn2Own黑客大赛上被公开演示,直接威胁到用户的个人数据安全。漏洞的技术根源在于“缓冲区复制时未检查输入大小”,攻击者可以利用这个缺陷,无需物理接触设备就能远程执行任意代码,进而可能完全控制受影响的设备。

针对此漏洞,群晖在最新的安全公告中明确指出,目前尚无临时的缓解措施或规避方法。因此,唯一的解决方案就是尽快升级系统。群晖强烈建议所有用户将BeeStation OS更新至1.3.2-65648或更高版本,新版已完全修复该安全问题。
这一零日漏洞的发现归功于法国网络安全公司Synacktiv的两名研究员——Tek和anyfun。他们在10月21日举办的Pwn2Own都柏林2025大赛上,利用该漏洞成功攻破了BeeStation设备。凭借这次成功的演示,他们获得了由赛事主办方零日倡议(ZDI)颁发的40000美元(注:现汇率约合28.5万元人民币)奖金。

