Pwn2Own Ireland 2025: Kritische Lücke in Synology BeeStation ermöglicht vollständige Übernahme
Synology-Patch-News vom 27.05.2026: Drei Advisoires aus Pwn2Own Ireland 2025 mit Updates fuer BeeStation, DSM und C2 Identity Edge Server.
Synology hat am 27.05.2026 drei Sicherheitsluecken aus dem Pwn2Own-Ireland-Wettbewerb 2025 offengelegt und Patches veroeffentlicht. Am schwersten wiegt eine kritische Luecke in der Consumer-NAS-Reihe BeeStation, die ohne Anmeldung ausgenutzt werden kann.
Drei Schwachstellen im Ueberblick
Die folgende Tabelle zeigt die drei Advisories, die Synology am 27.05.2026 veroeffentlicht hat, mit CVSS-Wert, betroffenem Produkt und Patch-Status.
| CVE | Produkt | CVSS | Risiko |
|---|---|---|---|
| CVE-2025-12686 | BeeStation (BSM) | 9,8 | kritisch (RCE ohne Login) |
| CVE-2025-13392 | DSM SSO | 8,1 | hoch (Auth-Bypass) |
| CVE-2025-14713 | C2 Identity Edge Server | 7,5 | mittel (Credential-Leak) |
BeeStation: Buffer-Overflow in AdminCenter (CVE-2025-12686)
Die kritischste Luecke betrifft die Synology BeeStation BSM (Consumer-NAS mit 4 TB fuer Heimanwender). Im Dienst AdminCenter steckt ein Buffer-Overflow, der ohne vorherige Anmeldung das Ausfuehren beliebigen Programmcodes erlaubt. Der CVSS-Score liegt bei 9,8 von 10, das ist hoechste Risikostufe. Die Luecke wurde von Synacktiv im Rahmen des Pwn2Own-Ireland-Wettbewerbs 2025 demonstriert.
Synology schliesst die Luecke mit BeeStation OS 1.3.2-65648 und neuer. Betroffen sind alle frueheren Versionen. Pruefen Sie nach dem Patch, ob Ihre BeeStation die aktualisierte Firmware installiert hat.
DSM SSO: Authentifizierungs-Bypass (CVE-2025-13392)
Die zweite Luecke betrifft den Single-Sign-On-Dienst in Synology DiskStation Manager. Ein Timing-Angriff auf den Authentifizierungsablauf erlaubt es Angreifern, sich ohne gueltige Zugangsdaten als administrativer Benutzer anzumelden. Der CVSS-Score ist 8,1. Die Forschergruppe Summoning Team hat die Schwachstelle auf Pwn2Own Ireland 2025 vorgefuehrt.
Fuer DiskStation Manager gilt: ein Update auf DSM 7.2.2-72806-5 (7.2er-Linie) oder DSM 7.3.1-86003-1 (7.3er-Linie) schliesst die Luecke. Aeltere DSM-Versionen erhalten keine Patches mehr – ein Upgrade ist zwingend.
C2 Identity: Anmeldedaten exponiert (CVE-2025-14713)
Die dritte Luecke betrifft den C2 Identity Edge Server von Synology. Ein Fehler in der Konfigurationsverarbeitung legt Anmeldedaten im Klartext auf einem oeffentlich erreichbaren Pfad ab. Der CVSS-Score ist 7,5. Betroffen sind Installationen vor C2 Identity 1.3.0-1317.
Pruefen Sie nach dem Update, ob im Pfad /etc/c2identity/secrets/ noch lesbare Konfigurationsdateien liegen, und loeschen Sie diese gegebenenfalls manuell.
Was Admins jetzt tun sollten
Wenn Sie eine Synology BeeStation, einen DiskStation Manager oder einen C2 Identity Server betreiben, handeln Sie zeitnah.
- BeeStation aktualisieren: Firmware auf 1.3.2-65648 oder neuer bringen. Gehen Sie im BeeStation-OS auf Einstellungen › System › Update.
- DSM aktualisieren: DSM auf 7.2.2-72806-5 oder 7.3.1-86003-1 aktualisieren. Im DSM-Frontend unter Hauptmenue › Systemsteuerung › Aktualisieren und Wiederherstellen.
- C2 Identity aktualisieren: Update auf 1.3.0-1317 oder neuer einspielen.
- Logs pruefen: Schauen Sie in den Systemprotokollen nach ungewoehnlichen Anmeldeversuchen oder unbekannten Admin-Konten aus den letzten 90 Tagen.
- Externe Erreichbarkeit einschraenken: DSM-Verwaltungsports (5000/5001) nicht direkt aus dem Internet erreichbar machen. Setzen Sie stattdessen ein VPN oder einen Reverse-Proxy mit Authentifizierung davor.
Passende Anleitungen auf S-EDV
- Synology DSM Firewall richtig einrichten – Grundkonfiguration mit Profilen fuer Web-Zugriff, VPN und Heimnetz.
- Cloudflare Tunnel fuer DSM und Webserver – DSM ohne offene Ports oeffentlich erreichbar machen.
