nvd
Westerndigital
Уязвимости
83
Эксплуатируемые
0
Критический
30
Высокий
26
Топ продуктов
My Cloud Pr410042My Cloud Ex410038My Cloud Pr210037My Cloud Ex2 Ultra33My Cloud Dl210028My Cloud Dl410028My Cloud Ex210028My Cloud25Wd Cloud20My Cloud Mirror G218My Cloud Os18My Cloud Mirror - Gen 217My Cloud Home16My Cloud Home Firmware14My Cloud Home Duo13My Cloud Home Duo Firmware13My Cloud Firmware12Sandisk Ibi12My Cloud Pr4100 Firmware11Sandisk Ibi Firmware11
Топ уязвимостей
CVE-2023-22814Обнаружена проблема обхода аутентификации путем спуфинга в механизме аутентификации на основе токенов, которая может позволить злоумышленнику осуществить атаку с выдачей себя за другое лицо.
Эта проблема затрагивает устройства My Cloud OS 5: до 5.26.202.
CVE-2022-36327В устройствах Western Digital My Cloud Home, My Cloud Home Duo, SanDisk ibi и Western Digital My Cloud OS 5 обнаружена уязвимость «Неправильное ограничение имени пути к ограниченному каталогу («Обход пути»)», которая может позволить злоумышленнику записывать файлы в места с определенными критическими типами файловой системы, что приведет к удаленному выполнению кода. Для эксплуатации этой проблемы необходимо сначала вызвать проблему обхода аутентификации.
Эта проблема затрагивает My Cloud Home и My Cloud Home Duo: до 9.4.0-191; ibi: до 9.4.0-191; My Cloud OS 5: до 5.26.202.
CVE-2022-29844Уязвимость в службе FTP устройств Western Digital My Cloud OS 5, работающих под управлением версий прошивки до 5.26.119, позволяет злоумышленнику читать и записывать произвольные файлы. Это может привести к полному компрометации NAS и предоставить злоумышленнику возможности удаленного выполнения кода.
CVE-2022-29843Уязвимость внедрения команд в конфигурации службы DDNS устройств Western Digital My Cloud OS 5, работающих под управлением версий прошивки до 5.26.119, позволяет злоумышленнику выполнять код в контексте пользователя root.
CVE-2022-29842Уязвимость Improper Neutralization of Special Elements used in a Command ('Command Injection'), которая могла позволить злоумышленнику выполнять код в контексте пользователя root в уязвимом CGI-файле, была обнаружена на устройствах Western Digital My Cloud OS 5. Эта проблема затрагивает My Cloud OS 5: до 5.26.119.
CVE-2022-29841Уязвимость Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection'), вызванная командой, которая читала файлы из привилегированного местоположения и создавала системную команду без очистки прочитанных данных. Эта команда могла быть запущена злоумышленником удаленно, чтобы вызвать выполнение кода и получить обратную оболочку на устройствах Western Digital My Cloud OS 5. Эта проблема затрагивает My Cloud OS 5: до 5.26.119.
CVE-2022-22997Устранена уязвимость удаленного выполнения кода путем устранения уязвимости инъекции команд и закрытия корзины AWS S3, которая потенциально позволяла злоумышленнику выполнять неподписанный код на устройствах My Cloud Home.
CVE-2022-22995Комбинация примитивов, предлагаемых SMB и AFP в их конфигурации по умолчанию, позволяет произвольно записывать файлы. Используя эту комбинацию примитивов, злоумышленник может выполнить произвольный код.
CVE-2022-22994На устройствах Western Digital My Cloud была обнаружена уязвимость удаленного выполнения кода, при которой злоумышленник мог обманом заставить устройство NAS загружаться через небезопасный HTTP-вызов. Это было результатом недостаточной проверки вызовов к устройству. Уязвимость была устранена путем отключения проверок подключения к Интернету с использованием HTTP.
CVE-2022-22992Была обнаружена уязвимость удаленного выполнения кода путем инъекции команд на устройствах Western Digital My Cloud, которая могла позволить злоумышленнику выполнить произвольные системные команды на устройстве. Уязвимость была устранена путем экранирования отдельных аргументов для функций оболочки, поступающих из пользовательского ввода.
CVE-2022-22989My Cloud OS 5 была уязвима для уязвимости переполнения стека до аутентификации в службе FTP, которую могли использовать неаутентифицированные злоумышленники в сети. Устранена уязвимость путем добавления средств защиты от проблем переполнения стека.
CVE-2021-36226Устройства Western Digital My Cloud до OS5 не используют криптографически подписанные файлы обновления прошивки.
CVE-2021-36224Устройства Western Digital My Cloud до OS5 имеют учетную запись nobody с пустым паролем.
CVE-2020-29563В Western Digital My Cloud OS 5 устройствах до версии 5.07.118 обнаружена проблема. Уязвимость обхода аутентификации администратора NAS может позволить неаутентифицированному пользователю получить доступ к устройству.
CVE-2020-28971На устройствах Western Digital My Cloud OS 5 до версии 5.06.115 обнаружена проблема. Уязвимость обхода аутентификации NAS Admin может позволить неаутентифицированному пользователю выполнять привилегированные команды на устройстве через cookie из-за недостаточной проверки путей URI.
CVE-2020-28970На устройствах Western Digital My Cloud OS 5 до версии 5.06.115 обнаружена проблема. Уязвимость обхода аутентификации NAS Admin может позволить неаутентифицированному пользователю выполнять привилегированные команды на устройстве через cookie. (Кроме того, аутентифицированный администратор может использовать конечную точку загрузки для загрузки исполняемых PHP-скриптов).
CVE-2020-28940На устройствах Western Digital My Cloud OS 5 до версии 5.06.115 панель управления NAS Admin имеет уязвимость обхода аутентификации, которая может позволить неаутентифицированному пользователю выполнять привилегированные команды на устройстве.
CVE-2020-27744Проблема была обнаружена на устройствах Western Digital My Cloud NAS до 5.04.114. Они позволяют удаленное выполнение кода с результирующим повышением привилегий.
CVE-2020-27160Устранена уязвимость удаленного выполнения кода в AvailableApps.php, которая позволяла повысить привилегии в устройствах Western Digital My Cloud NAS до версии 5.04.114 (выпуск 3 из 3).
CVE-2020-27159Устранена уязвимость удаленного выполнения кода в DsdkProxy.php из-за недостаточной очистки и недостаточной проверки пользовательского ввода в устройствах Western Digital My Cloud NAS до версии 5.04.114.
CVE-2020-27158Устранена уязвимость удаленного выполнения кода в cgi_api.php, которая позволяла повысить привилегии в устройствах Western Digital My Cloud NAS до версии 5.04.114.
CVE-2020-25765Устранена уязвимость удаленного выполнения кода в reg_device.php из-за недостаточной проверки ввода данных пользователем. в устройствах Western Digital My Cloud до 5.4.1140.
CVE-2020-12830Устранены многочисленные уязвимости переполнения буфера стека, которые могут позволить злоумышленнику осуществить повышение привилегий посредством несанкционированного удаленного выполнения кода на устройствах Western Digital My Cloud до версии 5.04.114.
CVE-2019-9950Western Digital My Cloud, My Cloud Mirror Gen2, My Cloud EX2 Ultra, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100, My Cloud DL4100, My Cloud PR2100 и My Cloud PR4100 версий прошивки до 2.31.174 подвержены уязвимости обхода аутентификации. Файл login_mgr.cgi проверяет учетные данные на соответствие /etc/shadow. Однако учетная запись "nobody" (которая может использоваться для доступа к API панели управления как вошедший в систему пользователь с низкими привилегиями) имеет пустой пароль по умолчанию, что позволяет злоумышленнику изменить исходный код веб-страницы My Cloud EX2 Ultra и получить доступ к My Cloud как пользователь устройства My Cloud, не являющийся администратором.
CVE-2019-16399Western Digital WD My Book World до II 1.02.12 страдает от нарушения аутентификации, что позволяет злоумышленнику получить доступ к каталогу /admin/ без учетных данных. Злоумышленник может легко включить SSH из /admin/system_advanced.php?lang=en и войти в систему с паролем root по умолчанию welc0me.