Synology DSM : 11 vulnérabilités, dont SQL injection et SSRF, patches disponibles depuis le 15 avril
Synology a publié 11 CVE simultanément sur DSM (CVE-2026-4036, CVE-2026-40530 à CVE-2026-40540). Si vous avez un NAS Synology dans votre PME (et beaucoup en ont), c'est une mise à jour à appliquer cette semaine, surtout si l'interface web est exposée hors du réseau interne.
- Référence : CERTFR-2026-AVI-0491, 11 CVE
- Impact : SQL injection, XSS, SSRF, déni de service à distance
- Versions sûres : DSM 7.2.1-69057-10, 7.2.2-72806-7, 7.3.2-86009-2
- Action : mise à jour DSM cette semaine, surtout si NAS exposé internet
Pourquoi c'est important pour les PME
Les NAS Synology sont parmi les solutions de stockage et sauvegarde les plus répandues dans les PME françaises. On les retrouve souvent en double rôle : serveur de fichiers interne ET cible de sauvegarde des postes / serveurs / SaaS (M365, Google Workspace).
Le problème : beaucoup de PME exposent l'interface DSM sur internet (DDNS Synology, QuickConnect, ou redirection de port maison) pour pouvoir accéder aux fichiers en télétravail. C'est pratique. Mais avec ces 11 CVE, un NAS exposé devient une porte d'entrée. Une SSRF (Server-Side Request Forgery) permet à un attaquant de faire émettre par votre NAS des requêtes vers votre réseau interne.
Versions affectées et patches
| Branche DSM | Versions affectées | Patch |
|---|---|---|
| DSM 7.2.1-x | avant 7.2.1-69057-10 | 7.2.1-69057-10 |
| DSM 7.2.2-x | avant 7.2.2-72806-7 | 7.2.2-72806-7 |
| DSM 7.3.2-x | avant 7.3.2-86009-2 | 7.3.2-86009-2 |
Synology a publié 2 bulletins de sécurité (SA_26_06 et SA_26_07) le 15 avril 2026.
Êtes-vous concerné ?
Si vous répondez OUI à au moins une question, agissez cette semaine :
- Avez-vous un NAS Synology dans votre infrastructure (production, sauvegarde, partage de fichiers) ?
- L'interface DSM est-elle accessible depuis internet (DDNS, QuickConnect, redirection de port) ?
- Le NAS héberge-t-il des données clients, des sauvegardes critiques, ou du code source ?
- Plusieurs comptes utilisateurs ont-ils accès à l'interface DSM ?
Quoi faire concrètement
- 1Vérifier la version : vous connecter au DSM en admin, puis Panneau de configuration > Mise à jour et restauration > Mise à jour DSM. Notez la version actuelle.
- 2Sauvegarder avant la mise à jour : depuis Hyper Backup ou Snapshot Replication, faire un snapshot complet du NAS. Une mise à jour DSM est en théorie sans risque, mais la prudence avant patch d'un système de production reste la règle.
- 3Appliquer la mise à jour : depuis l'interface DSM, télécharger et installer la version corrigée. Le NAS redémarre, indisponibilité ~5 minutes. Planifier hors heures de pointe.
- 4Si exposition internet, durcir : désactiver QuickConnect si pas utilisé, fermer les ports redirigés sur la box, n'autoriser l'accès distant que via VPN (Synology VPN Plus ou WireGuard sur la box). Imposer la MFA sur tous les comptes admin DSM.
- 5Auditer les logs : sur la période 15-30 avril, vérifier dans Centre de journalisation les connexions admin inhabituelles. Si vous voyez des essais répétés ou des connexions depuis IP étrangères, traiter comme incident.
Pour aller plus loin
- Avis officiel CERT-FR : CERTFR-2026-AVI-0491
- Synology : portail des bulletins de sécurité (SA_26_06 et SA_26_07)
Cette CVE mobilise A.8.8 (gestion des vulnérabilités) et A.8.13 (sauvegardes).
Le NAS Synology étant souvent l'endroit où vivent vos sauvegardes (A.8.13), une compromission casse votre plan B en cas de ransomware. La règle 3-2-1 prend tout son sens : ne JAMAIS avoir vos sauvegardes uniquement sur un NAS exposé internet.
Voir la fiche A.8.13 dans l'Académie