CH azonosító
CH-13818Angol cím
Western Digital MyCloud NAS vulnerabilitiesFelfedezés dátuma
2017.01.04.Súlyosság
KritikusÖsszefoglaló
A Western Digital MyCloud NAS kritikus kockázati besorolású sérülékenységei váltak ismertté, amelyeket kihasználva a támadó kiterjesztheti a jogosultságait az eszközön. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A Cookie Header Handler komponens egy ismeretlen funkcióját kihasználva a távoli, ellenőrizetlen támadó kiterjesztett jogosultságokat szerezhet az eszköz felett.
A POST Request Handler komponens sérülékenységét a /web/google_analytics.php fájlon keresztül kihasználva a támadó kiterjesztett jogosultságokat szerezhet az eszköz felett. Az arg paramétert egy speciális tartalommal feltöltve a távolról befecskendezett parancs ellenőrizetlenül lefut.
Megoldás
Frissítsen a 2016.12.13-án megjelent legújabb Firmware verzióra: 2.21.126
Támadás típusa
Command InjectionPrivilege escalation (jogosultság kiterjesztés)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: vuldb.com
Gyártói referencia: vuldb.com
CVE-2016-10107 - NVD CVE-2016-10107
CVE-2016-10108 - NVD CVE-2016-10108