Western Digital MyCloud NAS sérülékenységek

CH azonosító

CH-14339

Angol cím

Western Digital MyCloud NAS vulnerabilities

Felfedezés dátuma

2017.12.30.

Súlyosság

Magas

Érintett rendszerek

Western Digital

Érintett verziók

Western Digital My Cloud NAS

Összefoglaló

A Western Digital MyCloud NAS eszközök több magas kockázati besorolású sérülékenysége vált ismertté, amelyeket kihasználva a támadóknak lehetőségük van tetszőleges kód futtatására, CSRF (Cross-Site Request Forgery) támadás végrehajtására, valamint hozzáférhetnek a rendszerhez egy fixen beépített fiók (hardcoded backdoor account) segítségével.

Leírás

  • A WD MyCloud beépített webszerverén olyan PHP állomány található, amelyen keresztül tetszőleges fájlt lehet feltölteni az eszközre, ez pedig lehetővé teszi, hogy egy web shell segítségével a támadó átvehesse az irányítást a rendszer felett.
  • Egy fixen beépített felhasználói fiók segítségével a támadó be tud lépni a sérülékeny WD MyCloud NAS eszközbe. Bár a támadó így nem szerez root jogosultságokat, de további hibák kihasználásával akár azt is megszerezheti.
  • Egy CSRF sérülékenység kihasználásával meg lehet változtatni az eszköz egyes beállításait.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
CVE-2025-7329 – Rockwell NAT cross-site scripting sérülékenysége
CVE-2025-7328 – Rockwell NAT hiányzó autentikáció sérülékenység
CVE-2011-3402 – Microsoft Windows Remote Code Execution sérülékenysége
Tovább a sérülékenységekhez »