Synology 已解決了 BeeStation 產品中一個嚴重程度的遠端程式碼執行 (RCE) 漏洞，該漏洞在最近的 Pwn2Own 駭客大賽中被演示出來。此安全性問題（CVE-2025-12686）被描述為「不檢查輸入大小的緩衝區複製」問題，可被利用來執行任意程式碼。它會影響多個版本的 BeeStation OS，該軟體為 Synology 的網路附加儲存 (NAS) 設備提供支持，這些設備被銷售為面向消費者的「個人雲端」。目前沒有可用的緩解措施，因此供應商建議用戶升級到以下版本，這些版本解決了以下問題：
(1)BeeStation OS 版本 1.3.2-65648 或更高版本；
(2)BeeStation OS 版本 1.3.2-65648 或更高版本；
(3)BeeStation OS 版本 1.3.2-65648 或更高版本；
(4)BeeStation OS 版本 1.3.2-65648 或更高版本。
上週，另一家主要的 NAS 供應商QNAP 修復了該公司多款設備中總共 7 個零日漏洞，這些漏洞是白帽駭客在今年的 Pwn2Own Ireland 上展示的。

這項成功的漏洞利用演示發生在 2025 年 10 月 21 日舉行的 Pwn2Own Ireland 駭客競賽期間，由法國資安公司 Synacktiv 的研究人員 Tek 和 anyfun 執行。由於他們成功地展示了對該零日漏洞的利用，兩位研究人員獲得了 40,000 美元的獎勵。Pwn2Own 是一項由 Trend Micro 旗下零日計畫（Zero Day Initiative, ZDI）組織的為期三天的駭客競賽，它為資安研究人員提供了一個機會，讓他們能夠利用零日漏洞來攻擊和入侵流行的消費電子設備。最近在愛爾蘭舉行的這次活動中，研究人員共演示了針對廣泛產品的 73 個零日漏洞，總共贏得了超過 100 萬美元的獎金。

零日計畫（ZDI）與參與 Pwn2Own 的公司簽有漏洞披露協議。ZDI 會延遲發布這些安全性問題的技術細節，直到相關修補程式可用，並且使用者有足夠的時間應用更新。關於這些漏洞的更多細節將在未來幾個月內在 ZDI 的公告板上公開，並且在某些情況下，也會在研究人員的個人部落格空間中披露。Synology 的 BeeStation 作為一款面向一般消費者的「個人雲端」解決方案，其設計理念是提供簡單易用的資料存取和備份服務。然而，遠端程式碼執行漏洞的嚴重性不容忽視，它允許攻擊者在設備上執行任意程式碼，從而可能完全控制設備並竊取或破壞存儲的個人資料。因此，Synology 強烈敦促所有 BeeStation 用戶必須儘快將其作業系統升級到版本 1.3.2-65648 或更高，以確保其個人雲端環境的資訊安全。這次事件再次提醒所有 NAS 設備使用者和供應商，資安防護必須是持續且高度優先的工作。