DeafNews
// 1 CRITICAL · 2 ZERO-DAY · 4 CVE · 3 EXPLOIT NELLE ULTIME 24H
Vulnerabilità CRITICAL

Synology MailPlus: tre CVE critiche, 2.100+ server esposti

Published: Updated: By DeafSuite team 7 min read Vulnerabilità
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Synology ha rilasciato MailPlus Server 4.0.1-31663 per correggere tre vulnerabilità critiche che permettono lettura/scrittura file arbitrari e accesso a servizi

Synology ha rilasciato il 26 giugno 2026 la versione 4.0.1-31663 di MailPlus Server per correggere tre vulnerabilità critiche che espongono a compromissione remota migliaia di server email self-hosted. L'aggiornamento è l'unica difesa disponibile: la fonte segnala esplicitamente che non esistono mitigazioni alternative per le falle corrette, mentre i dettagli tecnici restano ancora non pubblici.

Punti chiave
  • Tre CVE identificate: CVE-2026-13136, CVE-2026-13135 e CVE-2025-15660, con impatto che spazia da lettura/scrittura file arbitrari a accesso a servizi interni e DoS.
  • Il fix è la versione 4.0.1-31663 di MailPlus Server, pubblicata per DiskStation Manager v7.3, 7.2.2 e 7.2.1.
  • Bitsight rileva oltre 2.100 deployment internet-facing, con concentrazione in Germania, Corea, Cina, Taiwan e USA.
  • I dettagli tecnici delle vulnerabilità sono ancora sotto chiave: la fonte li descrive come "still under wraps".

Cosa corregge l'aggiornamento e chi è a rischio

La versione 4.0.1-31663 di MailPlus Server chiude tre classi distinte di vulnerabilità. CVE-2026-13136 deriva da controlli di autorizzazione difettosi e permette attacchi remoti di lettura e scrittura file arbitrari, oltre a denial of service. CVE-2026-13135 sfrutta una restrizione impropria del canale di comunicazione per consentire accesso a servizi interni da remoto. CVE-2025-15660, l'unica delle tre con data di pubblicazione precedente, si radica in un generatore di numeri pseudo-casuali crittograficamente debole e permette lettura/scrittura file arbitrari e DoS in contesti adiacenti all'attaccante.

Le versioni del sistema operativo interessate sono DSM v7.3, v7.2.2 e v7.2.1. Il brief non specifica se CVE-2025-15660 affligga anche release DSM diverse da quelle citate. L'assenza di un advisory diretto da parte di Synology rende impossibile verificare autonomamente l'estensione completa della superficie di attacco.

L'esposizione internet-facing: un dato da verificare

"Details about the vulnerabilities are still under wraps." — Help Net Security

Secondo la fonte, Bitsight tramite il suo motore Groma Explorer rileva oltre 2.100 deployment di MailPlus Server esposti direttamente su internet. La distribuzione geografica mostra concentrazioni in Germania, Asia (Corea del Sud, Cina continentale, Taiwan) e Stati Uniti. Il brief non permette di verificare indipendentemente questo dato: manca un link a un report Bitsight consultabile, e nessuna delle altre otto fonti presenti nel dossier lo corrobora.

Il numero, tuttavia, alimenta una lettura operativa precisa: server email su NAS consumer e entry-level enterprise, spesso gestiti da piccole aziende o reparti IT senza team di sicurezza dedicati, rappresentano un bersaglio a elevata superficie di attacco. La combinazione di esposizione internet-facing e assenza di mitigazioni alternative traduce il rischio teorico in rischio immediato.

Il silenzio di Synology: una pratica fuori standard

L'angolo di lettura più significativo del dossier non è tecnico ma procedurale. Synology, vendor di NAS con installazione globale da decenni, non ha pubblicato un advisory strutturato con punteggi CVSS, timeline di scoperta, identità dei ricercatori e dettagli delle condizioni di attacco. La notizia circola esclusivamente attraverso fonti editoriali di terze parti, con informazioni tecniche deliberate in modo frammentato.

Questa modalità di disclosure si discosta dalla prassi di vendor enterprise come Cisco o Fortinet, che pubblicano advisory con CVSS espliciti, matrici di attacco ATT&CK, indicatori di compromissione e, quando rilevante, conferma o smentita di exploitation in-the-wild. Il brief non contiene evidenza che Synology abbia adottato un framework analogo per questa release. La conseguenza per gli utenti è un deficit di fiducia verificabile: senza advisory primario, la valutazione dell'urgenza del patch resta mediata da interpretazioni di terze parti.

Il brief non specifica se esistano proof-of-concept pubblici o se le vulnerabilità siano già state sfruttate in attacchi reali. La cautela è d'obbligo su questo punto: l'assenza di conferma non equivale a assenza di exploitation, ma non giustifica nemmeno affermazioni non documentate.

Perché è importante

Il dossier non documenta misure correttive specifiche al di fuori dell'aggiornamento alla versione 4.0.1-31663. La fonte afferma esplicitamente che "there is no available mitigation for the fixed issues", escludendo workaround, configurazioni alternative o regole di firewalling come sostituti del patch.

Il brief non specifica la natura dei dati potenzialmente esposti attraverso la lettura/scrittura file arbitraria: non emerge se siano coinvolti contenuti delle caselle email, credenziali degli utenti, configurazioni di sistema o altre classi di informazione. Analogamente, il dossier non dettaglia quali servizi interni siano raggiungibili tramite CVE-2026-13135 né la topologia di rete che renderebbe l'attacco adiacente di CVE-2025-15660 realizzabile.

La fonte non identifica i ricercatori che hanno scoperto le vulnerabilità, non fornisce timeline di responsabile disclosure e non riporta punteggi CVSS per nessuna delle tre CVE. Questi limiti, in combinazione con l'assenza di un advisory vendor diretto, riducono la capacità degli utenti di priorizzare l'aggiornamento rispetto ad altri interventi di manutenzione.

Domande e risposte

Perché non è disponibile il punteggio CVSS?

Il brief non riporta punteggi CVSS per nessuna delle tre CVE. L'identificatore CVE è assegnato, ma la severità numerica non è stata pubblicata dalla fonte consultata. Non è possibile stabilire se Synology abbia comunicato internamente tale dato a entità selezionate.

Posso rimandare l'aggiornamento se il server non è esposto su internet?

Il brief non distingue tra deployment internet-facing e internal-only nella valutazione del rischio. La condizione di attacco remota per CVE-2026-13136 e CVE-2026-13135 suggerisce che l'esposizione internet amplifichi il pericolo, ma la fonte non esclude scenari di attacco da rete interna o tramite compromissione di altri asset.

Cosa succede se i dettagli tecnici diventano pubblici?

La fonte segnala che i dettagli sono "still under wraps". La loro eventuale pubblicazione futura potrebbe abbassare la barriera allo sfruttamento automatizzato, specialmente per i server che non ricevono patch tempestive. Il brief non fornisce indicazioni sulla probabilità o tempistica di tale divulgazione.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Altri contenuti collegati

  • PTC Windchill: prima exploitation in-the-wild di un sistema PLM
  • Adobe Reader: patch ora per CVE-2026-27278, RCE via PDF
  • Docker MCP Plugin: RCE via label OCI, patch urgente

Fonti

Fonti e riferimenti
  1. helpnetsecurity.com
  2. unit42.paloaltonetworks.com
  3. cyberscoop.com
  4. cisa.gov
  5. cert.ssi.gouv.fr
  6. hkcert.org