PT-2020-17072 · Western Digital · Western Digital My Cloud Os 5
S_N_T
+1
·
Publicado
2020-12-01
·
Atualizado
2022-04-26
·
CVE-2020-28970
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Western Digital My Cloud OS 5 anteriores à 5.06.115
Descrição
Foi identificada uma falha que poderia permitir que um usuário não autenticado executasse comandos com privilégios no dispositivo por meio de um cookie, contornando efetivamente a autenticação de administrador do NAS. Essa falha poderia ser explorada por um administrador autenticado que utilizasse um ponto de extremidade de upload para enviar scripts PHP executáveis.
Recomendações
Para as versões do Western Digital My Cloud OS 5 anteriores à 5.06.115, atualize para a versão 5.06.115 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint de upload e limitar a execução de comandos privilegiados até que um patch seja aplicado.
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Western Digital My Cloud Os 5