Synology : deux failles dans Synology SSL VPN Client
Deux vulnérabilités dans Synology SSL VPN Client, exposant à des atteintes à la confidentialité et à l’intégrité des données.
Publié le par Emmanuel LASTRA 1 min de lecture
Le CERT-FR a publié le 14 avril 2026 l’avis CERTFR-2026-AVI-0431 concernant de multiples vulnérabilités affectant Synology SSL VPN Client, issues du bulletin Synology_SA_26_05 du 10 avril 2026. Les versions antérieures à 1.4.5-0684 sont concernées. Ces failles exposent à des atteintes à la confidentialité et à l’intégrité des données, notamment via l’exploitation de pages web piégées nécessitant une interaction utilisateur.
Deux vulnérabilités sont identifiées, dont une de sévérité élevée :
- CVE-2021-47960 (CVSS 6.5) permet l’accès à des fichiers sensibles via un service HTTP local.
- CVE-2021-47961 (CVSS 8.1) expose le code PIN stocké en clair, pouvant conduire à une configuration VPN non autorisée et à l’interception du trafic.
Synology recommande la mise à jour vers la version 1.4.5-0684 ou ultérieure.
[Bulletin CERT] (https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0431/). [Bulletin Synology] (https://www.synology.com/en-global/security/advisory/Synology_SA_26_05).