群晖发布安全更新，修复其个人云产品 BeeStation 中一个严重的远程代码执行零日漏洞，威胁用户数据安全。

11 月 12 日消息，科技媒体 bleepingcomputer 昨日（11 月 11 日）发布博文，报道称群晖（Synology）近日发布安全更新，修复了其个人云产品 BeeStation 中一个严重级别的远程代码执行（RCE）零日漏洞（CVE-2025-12686）。

该漏洞此前在知名的 Pwn2Own 黑客大赛上被公开演示，直接威胁用户的个人数据安全。该漏洞技术根源在于“缓冲区复制时未检查输入大小”，攻击者可以利用此缺陷，在无需物理接触设备的情况下远程执行任意代码，从而可能完全控制受影响的设备。

针对此漏洞，群晖官方安全公告明确指出，目前不存在临时的缓解措施或规避方法。因此，唯一的解决方案就是进行系统升级。群晖强烈建议所有用户尽快将 BeeStation OS 更新至 1.3.2-65648 或以上版本，新版本已完全修复该安全问题。

这一零日漏洞的发现归功于法国网络安全公司 Synacktiv 的两名研究员 ——Tek 和 anyfun。他们在 10 月 21 日举办的 Pwn2Own 爱尔兰 2025 大赛上，成功利用该漏洞攻破了 BeeStation 设备。凭借这次成功的演示，他们获得了由赛事主办方零日倡议（ZDI）颁发的 40000 美元（IT之家注：现汇率约合 28.5 万元人民币）奖金。