群暉修補SSL VPN Client工具程式兩個漏洞

漏洞概述與影響

儲存與網路設備供應商群暉（Synology）近日發布安全公告，指出其旗下SSL VPN Client工具程式存在兩個安全漏洞。攻擊者可透過誘導用戶開啟惡意網頁從而觸發攻擊，進而取得用戶敏感資料、竄改VPN設定或攔截流量。

漏洞細節與CVSS評分

此次修補的漏洞中，較嚴重的是CVE-2021-47961，其CVSS嚴重性評分為8.1分。該漏洞源自SSL VPN Client內部以不安全的形式（純文字）存放使用者個人識別碼（PIN）。攻擊者可能透過本機loopback HTTP服務存取安裝目錄資料，或讀取相關檔案以獲取PIN碼。

解決方案

解決辦法是將SSL VPN Client工具程式升級到1.4.5-0684以上版本。建議用戶儘速更新以消除安全風險。