CVE-2022-22994
Insufficient Verification of Data Authenticity Remote Code Execution Vulnerability on Western Digital My Cloud devices.
En resumen
Los dispositivos Western Digital My Cloud pueden ser engañados para ejecutar código malicioso porque no verifican correctamente el origen de los comandos. Un atacante puede enviar comandos falsos por internet para controlar el dispositivo.
Detalle técnico
La vulnerabilidad consiste en verificación insuficiente de la autenticidad de los datos en mecanismos de actualización o comunicación en dispositivos My Cloud, permitiendo inyección de código malicioso a través de llamadas HTTP desprotegidas. Pre-condición: el dispositivo debe ser accesible a través de la red o internet. La corrección implicó deshabilitar verificaciones no autenticadas de conectividad HTTP.
Resumen generado y traducido por IA a partir de la descripción oficial.
A remote code execution vulnerability was discovered on Western Digital My Cloud devices where an attacker could trick a NAS device into loading through an unsecured HTTP call. This was a result insufficient verification of calls to the device. The vulnerability was addressed by disabling checks for internet connectivity using HTTP.
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Western Digital · My Cloud¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →