Веб-приложение Western Digital My Cloud [https://os5.mycloud.com/] использует слабый SSLContext при попытке настроить правила переадресации…
Веб-приложение Western Digital My Cloud [https://os5.mycloud.com/] использует слабый SSLContext при попытке настроить правила переадресации портов. Это было включено для сохранения совместимости со старыми или устаревшими домашними маршрутизаторами. Используя контекст "SSL" вместо "TLS" или указывая более строгую проверку, допускаются устаревшие или небезопасные протоколы. В результате локальный пользователь без привилегий может использовать эту уязвимость и поставить под угрозу целостность, конфиденциальность и подлинность передаваемой информации. Область воздействия не может распространяться на другие компоненты, и для использования этой уязвимости не требуется ввод пользователя.
Протокол или его реализация поддерживает взаимодействие между несколькими субъектами и позволяет им согласовать используемый алгоритм защиты — шифрования или аутентификации, — однако не выбирает наиболее стойкий алгоритм, доступный обеим сторонам.
https://cwe.mitre.org/data/definitions/757.html →Открыть в коллекции CWE →Злоумышленник использует слабости в протоколе, применяемом для взаимодействия клиента и сервера, для выполнения непредвиденных действий. Протоколы связи необходимы для передачи сообщений между клиентскими и серверными приложениями. При этом разные протоколы могут использоваться для разных типов взаимодействий.
https://capec.mitre.org/data/definitions/220.html →Открыть в коллекции CAPEC →Злоумышленник, контролирующий поддельную базовую станцию сотовой связи или действующий в сговоре с вредоносным оператором мобильной сети, может вынудить мобильное устройство (например, устройство ретрансляции) использовать шифрование в режиме A5/0 (без шифрования) или легко взламываемое шифрование (режимы A5/1 или A5/2).
https://capec.mitre.org/data/definitions/606.html →Открыть в коллекции CAPEC →Злоумышленник вынуждает снизить уровень шифрования, тем самым обеспечивая возможность успешной атаки на зашифрованные данные.
https://capec.mitre.org/data/definitions/620.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| my_cloud_dl2100_firmware | * | Отслеживается |
| my_cloud_dl4100_firmware | * | Отслеживается |
| my_cloud_ex2100_firmware | * | Отслеживается |
| my_cloud_ex2_ultra_firmware | * | Отслеживается |
| my_cloud_ex4100_firmware | * | Отслеживается |
| my_cloud_firmware | * | Отслеживается |
| my_cloud_mirror_g2_firmware | * | Отслеживается |
| my_cloud_pr2100_firmware | * | Отслеживается |
| my_cloud_pr4100_firmware | * | Отслеживается |