Western Digital MyCloud NAS sérülékenységek

CH azonosító

CH-14339

Angol cím

Western Digital MyCloud NAS vulnerabilities

Felfedezés dátuma

2017.12.30.

Súlyosság

Magas

Érintett rendszerek

Western Digital

Érintett verziók

Western Digital My Cloud NAS

Összefoglaló

A Western Digital MyCloud NAS eszközök több magas kockázati besorolású sérülékenysége vált ismertté, amelyeket kihasználva a támadóknak lehetőségük van tetszőleges kód futtatására, CSRF (Cross-Site Request Forgery) támadás végrehajtására, valamint hozzáférhetnek a rendszerhez egy fixen beépített fiók (hardcoded backdoor account) segítségével.

Leírás

  • A WD MyCloud beépített webszerverén olyan PHP állomány található, amelyen keresztül tetszőleges fájlt lehet feltölteni az eszközre, ez pedig lehetővé teszi, hogy egy web shell segítségével a támadó átvehesse az irányítást a rendszer felett.
  • Egy fixen beépített felhasználói fiók segítségével a támadó be tud lépni a sérülékeny WD MyCloud NAS eszközbe. Bár a támadó így nem szerez root jogosultságokat, de további hibák kihasználásával akár azt is megszerezheti.
  • Egy CSRF sérülékenység kihasználásával meg lehet változtatni az eszköz egyes beállításait.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »