●概述：
群暉科技公司公布旗下四款產品6項漏洞，其中Office、File Station、Drive均因子系統缺陷，未完整過濾輸入字串，讓遠端攻擊者伺機發動Cross-site scripting；Drive則因存取控管不當，導致非共享檔案資源遭竊；Photo Station受到Cross-site request forgery攻擊，管理者認證資訊恐被劫持，而synophoto_dsm_user元件瑕疵亦造成Photo Station被擴權操作；Synology Inc已更新上述軟體版本。
●編註：
(1)Office
囿於Title Tootip元件瑕疵，駭客製造惡意檔名，可注入script或HTML，發動XSS攻擊。
(2)File Station
利用附件預覽功能異常條件，特製輸入字串，可注入script或HTML，實行跨站台腳本攻擊。
(3)Photo Station
(3-1)因admin/user.php設計失當，攻擊者可經由username、password、admin、action、uid、modify_admin等6個參數，進行Cross-site request forgery，劫持管理者身分認證資訊。
(3-2)由於synophoto_dsm_user元件上，控制許可權之正規程式語法具有弱點，針對fullname參數可探勘該弱點，從而擴權操作Photo Station。
(4)Drive
(4-1)File Sharing Notify Toast元件無法有效檢查檔名字串，若入特製檔名，則能進行Cross-site scripting。
(4-2) Drive存取控管不當，導致非共享檔案或資料夾被駭客經特殊途徑竊取。