Wd Cloud
Уязвимости
20
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.02634
Распределение по критичности
Критический
8
Высокий
4
Средний
8
Низкий
0
Также сопоставлено как (исходные строки): my_cloud_os_5,my_cloud_os,wd_cloud_firmware
Топ уязвимостей
CVE-2023-22814Обнаружена проблема обхода аутентификации путем спуфинга в механизме аутентификации на основе токенов, которая может позволить злоумышленнику осуществить атаку с выдачей себя за другое лицо.
Эта проблема затрагивает устройства My Cloud OS 5: до 5.26.202.
CVE-2022-36327В устройствах Western Digital My Cloud Home, My Cloud Home Duo, SanDisk ibi и Western Digital My Cloud OS 5 обнаружена уязвимость «Неправильное ограничение имени пути к ограниченному каталогу («Обход пути»)», которая может позволить злоумышленнику записывать файлы в места с определенными критическими типами файловой системы, что приведет к удаленному выполнению кода. Для эксплуатации этой проблемы необходимо сначала вызвать проблему обхода аутентификации.
Эта проблема затрагивает My Cloud Home и My Cloud Home Duo: до 9.4.0-191; ibi: до 9.4.0-191; My Cloud OS 5: до 5.26.202.
CVE-2022-29842Уязвимость Improper Neutralization of Special Elements used in a Command ('Command Injection'), которая могла позволить злоумышленнику выполнять код в контексте пользователя root в уязвимом CGI-файле, была обнаружена на устройствах Western Digital My Cloud OS 5. Эта проблема затрагивает My Cloud OS 5: до 5.26.119.
CVE-2022-29841Уязвимость Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection'), вызванная командой, которая читала файлы из привилегированного местоположения и создавала системную команду без очистки прочитанных данных. Эта команда могла быть запущена злоумышленником удаленно, чтобы вызвать выполнение кода и получить обратную оболочку на устройствах Western Digital My Cloud OS 5. Эта проблема затрагивает My Cloud OS 5: до 5.26.119.
CVE-2022-22995Комбинация примитивов, предлагаемых SMB и AFP в их конфигурации по умолчанию, позволяет произвольно записывать файлы. Используя эту комбинацию примитивов, злоумышленник может выполнить произвольный код.
CVE-2022-22994На устройствах Western Digital My Cloud была обнаружена уязвимость удаленного выполнения кода, при которой злоумышленник мог обманом заставить устройство NAS загружаться через небезопасный HTTP-вызов. Это было результатом недостаточной проверки вызовов к устройству. Уязвимость была устранена путем отключения проверок подключения к Интернету с использованием HTTP.
CVE-2022-22992Была обнаружена уязвимость удаленного выполнения кода путем инъекции команд на устройствах Western Digital My Cloud, которая могла позволить злоумышленнику выполнить произвольные системные команды на устройстве. Уязвимость была устранена путем экранирования отдельных аргументов для функций оболочки, поступающих из пользовательского ввода.
CVE-2022-22989My Cloud OS 5 была уязвима для уязвимости переполнения стека до аутентификации в службе FTP, которую могли использовать неаутентифицированные злоумышленники в сети. Устранена уязвимость путем добавления средств защиты от проблем переполнения стека.
CVE-2023-22816Уязвимость удаленного внедрения команд после аутентификации в CGI-файле в устройствах Western Digital My Cloud OS 5, которая может позволить злоумышленнику создавать файлы с перенаправлениями и выполнять более крупные полезные нагрузки.
Эта проблема затрагивает устройства My Cloud OS 5: до 5.26.300.
CVE-2022-22993На устройствах Western Digital My Cloud была обнаружена уязвимость ограниченного SSRF, которая могла позволить злоумышленнику выдавать себя за сервер и переходить на любую страницу на сервере, обходя средства контроля доступа. Уязвимость была устранена путем создания белого списка для допустимых параметров.
CVE-2022-22991Злонамеренный пользователь в той же локальной сети может использовать DNS-спуфинг с последующей атакой инъекции команд, чтобы обманом заставить устройство NAS загружаться через небезопасный HTTP-вызов. Эта уязвимость была устранена путем отключения проверок подключения к Интернету с использованием HTTP.
CVE-2022-22990Была обнаружена уязвимость обхода ограниченной аутентификации, которая могла позволить злоумышленнику выполнить удаленное выполнение кода и повысить привилегии на устройствах My Cloud. Эта уязвимость была устранена путем изменения логики проверки токена доступа и переписывания логики правил в PHP-скриптах.
CVE-2023-22815Уязвимость удаленного внедрения команд после аутентификации в устройствах Western Digital My Cloud OS 5, которая может позволить злоумышленнику выполнить код в контексте пользователя root в уязвимых файлах CGI. Эту уязвимость можно использовать только по сети, и злоумышленник должен уже иметь права администратора/root для осуществления эксплуатации. Для этого эксплойта требуется обход аутентификации, что делает его более сложным. Атака может не требовать взаимодействия с пользователем. Поскольку злоумышленник должен быть уже аутентифицирован, влияние на конфиденциальность является низким, в то время как влияние на целостность и доступность является высоким.
Эта проблема затрагивает устройства My Cloud OS 5: до 5.26.300.
CVE-2023-22817Уязвимость подделки запросов на стороне сервера (SSRF), которая может позволить несанкционированному серверу в локальной сети изменить свой URL-адрес, используя другой DNS-адрес, чтобы указать обратно на адаптер замыкания на себя. Это может позволить URL-адресу использовать другие уязвимости на локальном сервере. Эта проблема была решена путем исправления DNS-адресов, которые ссылаются на замыкание на себя. Эта проблема затрагивает устройства My Cloud OS 5 до 5.27.161, My Cloud Home, My Cloud Home Duo и SanDisk ibi до 9.5.1-104.
CVE-2022-29840Уязвимость Server-Side Request Forgery (SSRF), которая могла позволить мошенническому серверу в локальной сети изменить свой URL-адрес, чтобы он указывал обратно на адаптер обратной связи, была устранена на устройствах Western Digital My Cloud OS 5. Это могло позволить URL-адресу использовать другие уязвимости на локальном сервере. Эта проблема затрагивает устройства My Cloud OS 5 до версии 5.26.202.
CVE-2022-29839Уязвимость недостаточно защищенных учетных данных в приложении удаленного резервного копирования на устройствах Western Digital My Cloud, которая может позволить злоумышленнику, получившему доступ к соответствующей конечной точке, использовать эту информацию для доступа к защищенным данным. Эта проблема затрагивает: Western Digital My Cloud My Cloud версий до 5.25.124 на Linux.
CVE-2023-22819Проблема неконтролируемого потребления ресурсов, которая может возникнуть при отправке специально созданных запросов в службу для потребления большого объема памяти, что в конечном итоге приведет к остановке и перезапуску службы, была обнаружена в устройствах Western Digital My Cloud Home, My Cloud Home Duo, SanDisk ibi и Western Digital My Cloud OS 5. Для использования этой уязвимости злоумышленник должен уже иметь права root. Эта проблема затрагивает My Cloud Home и My Cloud Home Duo: до 9.5.1-104; ibi: до 9.5.1-104; My Cloud OS 5: до 5.27.161.
CVE-2022-36328В устройствах Western Digital My Cloud Home, My Cloud Home Duo, SanDisk ibi и Western Digital My Cloud OS 5 обнаружена уязвимость «Неправильное ограничение имени пути к ограниченному каталогу («Обход пути»)», которая может позволить злоумышленнику создавать произвольные общие ресурсы в произвольных каталогах и извлекать конфиденциальные файлы, пароли, пользователей и конфигурации устройств. Это можно использовать только после того, как злоумышленник получит root-права на устройства, используя проблему обхода аутентификации или другую уязвимость. Эта проблема затрагивает My Cloud Home и My Cloud Home Duo: до 9.4.0-191; ibi: до 9.4.0-191; My Cloud OS 5: до 5.26.202.
CVE-2022-36326В устройствах Western Digital My Cloud Home, My Cloud Home Duo, SanDisk ibi и Western Digital My Cloud OS 5 обнаружена проблема неконтролируемого потребления ресурсов, которая может возникнуть при отправке специально созданных запросов к службе для потребления большого объема памяти, что в конечном итоге приведет к остановке и перезапуску службы. Для эксплуатации этой уязвимости злоумышленнику уже необходимы root-права. Эта проблема затрагивает My Cloud Home и My Cloud Home Duo: до 9.4.0-191; ibi: до 9.4.0-191; My Cloud OS 5: до 5.26.202.
CVE-2022-29838Уязвимость Improper Authentication в функциях зашифрованных томов и автоматического монтирования устройств Western Digital My Cloud позволяет небезопасному прямому доступу к информации о диске в случае сброса устройства. Эта проблема затрагивает: Western Digital My Cloud My Cloud версий до 5.25.124 на Linux.