Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-03532

Опубликовано: 24 июн. 2021
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения дисковых хранилищ Western Digital WD My Book Live и WD My Book Live Duo существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды с помощью метасимволов оболочки в параметре языка /api/1.0/rest/language_configuration

Вендор

Western Digital Corporation

Наименование ПО

WD My Book Live
WD My Book Live Duo

Версия ПО

- (WD My Book Live)
- (WD My Book Live Duo)

Тип ПО

Микропрограммный код аппаратных компонент компьютера

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://www.westerndigital.com/support/productsecurity/wdc-21008-recommended-security-measures-wd-mybooklive-wd-mybookliveduo

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 90%
0.05803
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2018-18472

CVSS3: 9.8
nvd
больше 6 лет назад

Western Digital WD My Book Live and WD My Book Live Duo (all versions) have a root Remote Command Execution bug via shell metacharacters in the /api/1.0/rest/language_configuration language parameter. It can be triggered by anyone who knows the IP address of the affected device, as exploited in the wild in June 2021 for factory reset commands,

github логотип

GHSA-gjqh-4gc9-vchf

github
больше 3 лет назад

Western Digital WD My Book Live (all versions) has a root Remote Command Execution bug via shell metacharacters in the /api/1.0/rest/language_configuration language parameter. It can be triggered by anyone who knows the IP address of the affected device.

EPSS

Процентиль: 90%
0.05803
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2