Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02204

Опубликовано: 10 янв. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость службы FTP операционных систем сетевых хранилищ My Cloud OS связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный доступ к устройству и выполнить произвольный код

Вендор

Western Digital Corporation

Наименование ПО

MyCloud PR4100 firmware
My Cloud PR2100
My Cloud EX4100
My Cloud EX2 Ultra
My Cloud Mirror Gen 2
My Cloud DL2100
My Cloud DL4100
My Cloud EX2100
My Cloud OS
Western Digital MyCloud NAS

Версия ПО

до 5.26.119 (MyCloud PR4100 firmware)
до 5.26.119 (My Cloud PR2100)
до 5.26.119 (My Cloud EX4100)
до 5.26.119 (My Cloud EX2 Ultra)
до 5.26.119 (My Cloud Mirror Gen 2)
до 5.26.119 (My Cloud DL2100)
до 5.26.119 (My Cloud DL4100)
до 5.26.119 (My Cloud EX2100)
до 5.26.119 (My Cloud OS)
до 5.26.119 (Western Digital MyCloud NAS)

Тип ПО

Сетевое средство
Микропрограммный код
Операционная система

Операционные системы и аппаратные платформы

Western Digital Corporation My Cloud OS до 5.26.119

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование систем обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости;
- использование средств межсетевого экранирования уровня веб-приложений;
- ограничение доступа к устройству из внешних сетей (Интернет).
Использование рекомендаций производителя:
https://www.westerndigital.com/en-in/support/product-security/wdc-23002-my-cloud-firmware-version-5-26-119

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.58541
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-29844

CVSS3: 6.7
nvd
около 3 лет назад

A vulnerability in the FTP service of Western Digital My Cloud OS 5 devices running firmware versions prior to 5.26.119 allows an attacker to read and write arbitrary files. This could lead to a full NAS compromise and would give remote execution capabilities to the attacker.

github логотип

GHSA-6r45-66xq-p89w

CVSS3: 9.8
github
около 3 лет назад

A vulnerability in the FTP service of Western Digital My Cloud OS 5 devices running firmware versions prior to 5.26.119 allows an attacker to read and write arbitrary files. This could lead to a full NAS compromise and would give remote execution capabilities to the attacker.

EPSS

Процентиль: 98%
0.58541
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2