Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06437

Опубликовано: 02 авг. 2024
Источник: fstec
CVSS3: 9.3
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость настроек среды Node.js программного обеспечения управления продуктами Western Digital WD Discovery связана с связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код текущего сеанса

Вендор

Microsoft Corp
Apple Inc.
Western Digital Corporation

Наименование ПО

Windows
MacOS
WD Discovery

Версия ПО

- (Windows)
- (MacOS)
до 5.0.589 (WD Discovery)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Microsoft Corp Windows -
Apple Inc. MacOS -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://www.westerndigital.com/support/product-security/wdc-24004-wd-discovery-desktop-app-version-5-0-589

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 29%
0.00103
Низкий

9.3 Critical

CVSS3

7.2 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-22169

nvd
больше 1 года назад

WD Discovery versions prior to 5.0.589 contain a misconfiguration in the Node.js environment settings that could allow code execution by utilizing the 'ELECTRON_RUN_AS_NODE' environment variable. Any malicious application operating with standard user permissions can exploit this vulnerability, enabling code execution within WD Discovery application's context. WD Discovery version 5.0.589 addresses this issue by disabling certain features and fuses in Electron. The attack vector for this issue requires the victim to have the WD Discovery app installed on their device.

github логотип

GHSA-cqcg-4g39-cjvj

github
больше 1 года назад

WD Discovery versions prior to 5.0.589 contain a misconfiguration in the Node.js environment settings that could allow code execution by utilizing the 'ELECTRON_RUN_AS_NODE' environment variable. Any malicious application operating with standard user permissions can exploit this vulnerability, enabling code execution within WD Discovery application's context. WD Discovery version 5.0.589 addresses this issue by disabling certain features and fuses in Electron. The attack vector for this issue requires the victim to have the WD Discovery app installed on their device.

EPSS

Процентиль: 29%
0.00103
Низкий

9.3 Critical

CVSS3

7.2 High

CVSS2