PT-2024-1674 · Western Digital · My Cloud Home Duo+3
S_N_T
+1
·
Publicado
2024-02-05
·
Atualizado
2024-02-13
·
CVE-2023-22817
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do My Cloud OS anteriores à 5.27.161
Versão do My Cloud Home anterior à 9.5.1-104
Versão do My Cloud Home Duo anterior à 9.5.1-104
Versão do SanDisk ibi anterior à 9.5.1-104
Descrição
O problema está relacionado a uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF). Ela poderia permitir que um servidor malicioso na rede local modificasse sua URL usando outro endereço DNS para redirecionar para o adaptador de loopback, potencialmente explorando outras vulnerabilidades no servidor local. Essa vulnerabilidade está associada à validação insuficiente de solicitações recebidas.
Recomendações
Para versões do My Cloud OS anteriores à 5.27.161, atualize para a versão 5.27.161 ou posterior.
Para versões do My Cloud Home, My Cloud Home Duo e SanDisk ibi anteriores à 9.5.1-104, atualize para a versão 9.5.1-104 ou posterior.
Como solução alternativa temporária, considere restringir o acesso aos endereços DNS que se referem ao adaptador de loopback para minimizar o risco de exploração.
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
My Cloud Home
My Cloud Home Duo
My Cloud Os
Sandisk Ibi