Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-23000

Опубликовано: 25 июл. 2022
Источник: nvd
CVSS3: 7.3
CVSS3: 7.8
EPSS Низкий

Описание

The Western Digital My Cloud Web App [https://os5.mycloud.com/] uses a weak SSLContext when attempting to configure port forwarding rules. This was enabled to maintain compatibility with old or outdated home routers. By using an "SSL" context instead of "TLS" or specifying stronger validation, deprecated or insecure protocols are permitted. As a result, a local user with no privileges can exploit this vulnerability and jeopardize the integrity, confidentiality and authenticity of information transmitted. The scope of impact cannot extend to other components and no user input is required to exploit this vulnerability.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:westerndigital:my_cloud_pr2100_firmware:*:*:*:*:*:*:*:*
Версия до 5.23.114 (исключая)
cpe:2.3:h:westerndigital:my_cloud_pr2100:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

cpe:2.3:o:westerndigital:my_cloud_pr4100_firmware:*:*:*:*:*:*:*:*
Версия до 5.23.114 (исключая)
cpe:2.3:h:westerndigital:my_cloud_pr4100:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:o:westerndigital:my_cloud_ex4100_firmware:*:*:*:*:*:*:*:*
Версия до 5.23.114 (исключая)
cpe:2.3:h:westerndigital:my_cloud_ex4100:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

cpe:2.3:o:westerndigital:my_cloud_ex2_ultra_firmware:*:*:*:*:*:*:*:*
Версия до 5.23.114 (исключая)
cpe:2.3:h:westerndigital:my_cloud_ex2_ultra:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

cpe:2.3:o:westerndigital:my_cloud_mirror_g2_firmware:*:*:*:*:*:*:*:*
Версия до 5.23.114 (исключая)
cpe:2.3:h:westerndigital:my_cloud_mirror_g2:-:*:*:*:*:*:*:*
Конфигурация 6

Одновременно

cpe:2.3:o:westerndigital:my_cloud_dl2100_firmware:*:*:*:*:*:*:*:*
Версия до 5.23.114 (исключая)
cpe:2.3:h:westerndigital:my_cloud_dl2100:-:*:*:*:*:*:*:*
Конфигурация 7

Одновременно

cpe:2.3:o:westerndigital:my_cloud_dl4100_firmware:*:*:*:*:*:*:*:*
Версия до 5.23.114 (исключая)
cpe:2.3:h:westerndigital:my_cloud_dl4100:-:*:*:*:*:*:*:*
Конфигурация 8

Одновременно

cpe:2.3:o:westerndigital:my_cloud_ex2100_firmware:*:*:*:*:*:*:*:*
Версия до 5.23.114 (исключая)
cpe:2.3:h:westerndigital:my_cloud_ex2100:-:*:*:*:*:*:*:*
Конфигурация 9

Одновременно

cpe:2.3:o:westerndigital:my_cloud_firmware:*:*:*:*:*:*:*:*
Версия до 5.23.114 (исключая)
cpe:2.3:h:westerndigital:my_cloud:-:*:*:*:*:*:*:*

EPSS

Процентиль: 15%
0.00048
Низкий

7.3 High

CVSS3

7.8 High

CVSS3

Дефекты

CWE-757
NVD-CWE-Other

Связанные уязвимости

github логотип

GHSA-r7x8-4vrm-5h92

CVSS3: 7.8
github
больше 3 лет назад

The Western Digital My Cloud Web App [https://os5.mycloud.com/] uses a weak SSLContext when attempting to configure port forwarding rules. This was enabled to maintain compatibility with old or outdated home routers. By using an "SSL" context instead of "TLS" or specifying stronger validation, deprecated or insecure protocols are permitted. As a result, a local user with no privileges can exploit this vulnerability and jeopardize the integrity, confidentiality and authenticity of information transmitted. The scope of impact cannot extend to other components and no user input is required to exploit this vulnerability.

fstec логотип

BDU:2022-05106

CVSS3: 7.3
fstec
больше 3 лет назад

Уязвимость реализации класса SSLContext операционных систем сетевых хранилищ My Cloud OS, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

EPSS

Процентиль: 15%
0.00048
Низкий

7.3 High

CVSS3

7.8 High

CVSS3

Дефекты

CWE-757
NVD-CWE-Other