群晖(Synology)近日紧急发布重要安全补丁,针对其个人云设备BeeStation中存在的严重远程代码执行(RCE)零日漏洞(CVE-2025-12686)进行修复。该漏洞源于缓冲区复制过程中对输入大小验证的缺失,使得攻击者能够利用此缺陷实现远程任意代码执行,进而完全掌控受影响设备。这一高危漏洞在Pwn2Own爱尔兰2025安全竞赛中引起广泛关注,由法国安全公司Synacktiv的研究员Tek和anyfun成功演示,并因此获得4万美元高额奖金。
群晖官方在公告中明确指出,目前尚未提供任何临时缓解方案,唯一有效的解决措施是立即将BeeStation OS升级至1.3.2-65648或更高版本。群晖强烈建议所有已受支持设备的用户尽快完成系统更新,以彻底消除安全风险,保障个人数据安全。此次漏洞的披露再次凸显了网络安全的重要性,提醒用户定期检查并更新设备系统,防范潜在威胁。
