●概述：
群暉科技公司公布旗下二款產品漏洞，其NAS套件CardDAV、Universal Search分別檢測出XSS、Bypass安全事件，CardDAV伺服器端可讓不同用戶端平臺同步更新Address Book，然通訊錄編輯器未完整過濾輸入字串，遠端攻擊者可探勘3個姓名相關欄位，伺機發動Cross-site scripting；至於Synology NAS全方位搜尋工具Universal Search，醒目預覽(Highlight Preview)功能在POSIX模式階段，對目錄錯誤授權，導致使用者可避開許可權稽查，越權接觸NAS設備內資料夾，Synology Inc已更新上述軟體版本。
●編註：
(1)CardDAV Server跨站台腳本
兩層式架構的CardDAV，伺服器端通訊錄編輯器介面功能有誤，無法檢查出惡意字串，遠端攻擊者從client端，針對family_name、given_name、additional_name等3個欄位，注入HTML程式碼，使CardDAV Server當作正常參數運算處理，形成cross site scripting攻擊。
(2)Universal Search迴避安全稽核
搭配NAS的搜尋工具，Universal Search，其醒目預覽(Highlight Preview)元件在POSIX模式階段，對目錄不當授權，導致使用者可避開許可權稽查，任意接觸設備內限閱資料夾。