PT-2021-3503 · Western Digital · Wd My Book Live+1
Publicado
2021-06-29
·
Atualizado
2022-07-12
·
CVE-2021-35941
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:P/A:C |
Nome do software vulnerável e versões afetadas
Western Digital WD My Book Live versões 2.x e posteriores
Western Digital WD My Book Live Duo (todas as versões)
Descrição
O problema está relacionado a falhas no procedimento de autenticação do software de armazenamento em disco WD My Book Live e WD My Book Live Duo da Western Digital. A exploração dessa vulnerabilidade pode permitir que um invasor remoto cause uma negação de serviço. Ela já foi explorada na prática, com um incidente notável ocorrido em junho de 2021. A vulnerabilidade permite que uma API de administrador execute uma restauração de fábrica do sistema sem exigir autenticação.
Recomendações
Para o Western Digital WD My Book Live versões 2.x e posteriores, considere restringir o acesso à API de administrador para minimizar o risco de exploração.
Para o Western Digital WD My Book Live Duo (todas as versões), restrinja o acesso à API de administrador para impedir restaurações de fábrica não autorizadas do sistema.
Como solução alternativa temporária, considere desativar a funcionalidade de restauração de fábrica por meio da API de administrador até que um patch esteja disponível.
Exploit
Correção
Missing Authentication
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Wd My Book Live
Wd My Book Live Duo