Western Digital My Cloud身份验证绕过漏洞

CVE编号

CVE-2018-17153

利用情况

暂无

补丁情况

N/A

披露时间

2018-09-19

漏洞描述

Western Digital MyCloud是个人云存储设备。
Western Digital My Cloud存在身份验证绕过漏洞，未经身份验证的攻击者可利用此漏洞以管理员用户身份进行身份验证，而无需提供密码，从而可以完全控制My Cloud设备。

解决建议

目前没有详细的解决方案提供：
https://www.wdc.com

参考链接
http://www.securityfocus.com/bid/105359
https://securify.nl/nl/advisory/SFY20180102/authentication-bypass-vulnerabili...
https://support.wdc.com/knowledgebase/answer.aspx?ID=25952

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	western_digital	my_cloud_dl2100	*		Up to (excluding) 2.30.196
	运行在以下环境
	系统	western_digital	my_cloud_dl4100_firmware	*		Up to (excluding) 2.30.196
	运行在以下环境
	系统	western_digital	my_cloud_ex2100_firmware	*		Up to (excluding) 2.30.196
	运行在以下环境
	系统	western_digital	my_cloud_ex2_firmware	*		Up to (excluding) 2.30.196
	运行在以下环境
	系统	western_digital	my_cloud_ex2_ultra_firmware	*		Up to (excluding) 2.30.196
	运行在以下环境
	系统	western_digital	my_cloud_ex4100	*		Up to (excluding) 2.30.196
	运行在以下环境
	系统	western_digital	my_cloud_ex4_firmware	*		Up to (excluding) 2.30.196
	运行在以下环境
	系统	western_digital	my_cloud_mirror_firmware	*		Up to (excluding) 2.30.196
	运行在以下环境
	系统	western_digital	my_cloud_mirror_gen_2_firmware	*		Up to (excluding) 2.30.196
	运行在以下环境
	系统	western_digital	my_cloud_pr2100_firmware	*		Up to (excluding) 2.30.196
	运行在以下环境
	系统	western_digital	my_cloud_pr4100	*		Up to (excluding) 2.30.196
	运行在以下环境
	系统	western_digital	my_cloud_wdbctl0020hwt_firmware	*		Up to (excluding) 2.30.196
	运行在以下环境
	硬件	western_digital	my_cloud_dl2100	-	-
	运行在以下环境
	硬件	western_digital	my_cloud_dl4100	-	-
	运行在以下环境
	硬件	western_digital	my_cloud_ex2	-	-
	运行在以下环境
	硬件	western_digital	my_cloud_ex2100	-	-
	运行在以下环境
	硬件	western_digital	my_cloud_ex2_ultra	-	-
	运行在以下环境
	硬件	western_digital	my_cloud_ex4	-	-
	运行在以下环境
	硬件	western_digital	my_cloud_ex4100	-	-
	运行在以下环境
	硬件	western_digital	my_cloud_mirror	-	-
	运行在以下环境
	硬件	western_digital	my_cloud_mirror_gen_2	-	-
	运行在以下环境
	硬件	western_digital	my_cloud_pr2100	-	-
	运行在以下环境
	硬件	western_digital	my_cloud_pr4100	-	-
	运行在以下环境
	硬件	western_digital	my_cloud_wdbctl0020hwt	*	-

攻击路径网络
攻击复杂度低
权限要求无
影响范围未更改
用户交互无
可用性高
保密性高
完整性高

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-287 认证机制不恰当

正文

Western Digital My Cloud身份验证绕过漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

JasPer拒绝服务漏洞

Oracle Retail Applications Oracle Retail Order Management System Cloud Service组件漏洞

Oracle MySQL Server up to 5.6.27/5.7.9 DML 拒绝服务漏洞

Oracle MySQL Server up to 5.5.31/5.6.11 Optimizer 拒绝服务漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]