CVE-2021-35941

Опубликовано: 29 июн. 2021

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Описание

Western Digital WD My Book Live (2.x and later) and WD My Book Live Duo (all versions) have an administrator API that can perform a system factory restore without authentication, as exploited in the wild in June 2021, a different vulnerability than CVE-2018-18472.

Ссылки

https://arstechnica.com/gadgets/2021/06/hackers-exploited-0-day-not-2018-bug-to-mass-wipe-my-book-live-devices/
Exploit
Third Party Advisory
https://www.westerndigital.com/support/productsecurity/wdc-21008-recommended-security-measures-wd-mybooklive-wd-mybookliveduo
Vendor Advisory
https://arstechnica.com/gadgets/2021/06/hackers-exploited-0-day-not-2018-bug-to-mass-wipe-my-book-live-devices/
Exploit
Third Party Advisory
https://www.westerndigital.com/support/productsecurity/wdc-21008-recommended-security-measures-wd-mybooklive-wd-mybookliveduo
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:westerndigital:wd_my_book_live_firmware:*:*:*:*:*:*:*:*

Версия от 2.0 (включая)

cpe:2.3:h:westerndigital:wd_my_book_live:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:westerndigital:wd_my_book_live_duo_firmware:*:*:*:*:*:*:*:*

cpe:2.3:h:westerndigital:wd_my_book_live_duo:-:*:*:*:*:*:*:*

EPSS

Процентиль: 88%

0.03795

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-306

Связанные уязвимости

GHSA-mc72-rv83-h28w

CVSS3: 7.5

github

больше 3 лет назад

BDU:2021-03535

CVSS3: 8.2

fstec

больше 4 лет назад

Уязвимость микропрограммного обеспечения дисковых хранилищ Western Digital WD My Book Live и WD My Book Live Duo, связанная с недостатками процедуры аутентификации, позволяющая нарушителю выполнить сброс устройства к заводским настройкам