PT-2021-7663 · Western Digital · Western Digital My Cloud
Pedro Ribeiro
+1
·
Publicado
2021-07-02
·
Atualizado
2023-08-08
·
CVE-2021-36225
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Dispositivos Western Digital My Cloud anteriores ao OS5
Descrição
A vulnerabilidade permite o acesso à API REST por contas com privilégios reduzidos, conforme demonstrado pelos comandos da API para upload e instalação de firmware. Isso pode potencialmente levar à execução de código arbitrário por um invasor remoto. A vulnerabilidade está relacionada à implementação da interface de software do dispositivo de armazenamento em rede Western Digital MyCloud PR4100, que está associada a uploads irrestritos de tipos de arquivos perigosos.
Recomendações
Para dispositivos Western Digital My Cloud anteriores ao OS5, considere desativar o acesso à API REST para contas com privilégios limitados até que uma correção esteja disponível. Restrinja o acesso aos comandos da API para upload e instalação de firmware para minimizar o risco de exploração. Evite usar a API para atualizações de firmware até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Missing Authorization
Improper Access Control
Unrestricted File Upload
Incorrect Privilege Assignment
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Western Digital My Cloud