CVE-2022-22994
Insufficient Verification of Data Authenticity Remote Code Execution Vulnerability on Western Digital My Cloud devices.
Em resumo
Dispositivos Western Digital My Cloud podem ser enganados para executar código malicioso porque não verificam corretamente a origem dos comandos. Um atacante pode enviar comandos falsos pela internet para controlar o dispositivo.
Detalhe técnico
A vulnerabilidade consiste em verificação insuficiente da autenticidade dos dados nos mecanismos de atualização ou comunicação em dispositivos My Cloud, permitindo injeção de código malicioso através de chamadas HTTP desprotegidas. Pré-condição: o dispositivo deve estar acessível pela rede ou internet. A correção envolveu desabilitar verificações não autenticadas de conectividade HTTP.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A remote code execution vulnerability was discovered on Western Digital My Cloud devices where an attacker could trick a NAS device into loading through an unsecured HTTP call. This was a result insufficient verification of calls to the device. The vulnerability was addressed by disabling checks for internet connectivity using HTTP.
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Western Digital · My CloudQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →