Nhiều lỗ hổng ảnh hưởng đến My Cloud PR4100 của Western Digital  

Một số lỗ hổng vừa được phát hiện trong My Cloud PR4100, thiết bị lưu trữ mạng của Western Digital, có khả năng lưu trữ đám mây cho doanh nghiệp nhỏ và cá nhân.  

Các lỗ hổng cụ thể như sau:

Lỗ hổng đầu tiên, CVE-2022-29840 (điểm CVSS: 7,3), là lỗ hổng giả mạo yêu cầu phía máy chủ Western Digital My Cloud PR4100, cho phép tin tặc thực thi mã tùy ý trên các bản cài đặt My Cloud PR4100 bị ảnh hưởng mà không yêu cầu xác thực. Lỗ hổng này có thể bị khai thác cùng với các lỗ hổng khác để thực thi mã tùy ý với các đặc quyền root. Western Digital đã phát hành bản cập nhật My Cloud OS 5 Firmware 5.26.202 để vá lỗ hổng này. 

Lỗ hổng thứ 2, CVE-2022-29841 (điểm CVSS: 8,8), là lỗ hổng cho phép kẻ tấn công từ xa thực thi mã tùy ý trên các thiết bị My Cloud PR4100. Mặc dù việc khai thác yêu cầu xác thực nhưng lỗ hổng cho phép tin tặc vượt qua cơ chế xác thực hiện có. Western Digital đã vá lỗ hổng này qua bản cập nhật My Cloud OS 5 Firmware 5.26.119. 

Lỗ hổng thứ 3, CVE-2022-29842 (điểm CVSS: 7,5), là một lỗ hổng thực thi mã có thể cho phép tin tặc thực thi mã tùy ý với các đặc quyền root trên các thiết bị My Cloud PR4100 bị ảnh hưởng mà không cần xác thực. Western Digital đã giải quyết lỗ hổng này bằng việc phát hành bản cập nhật My Cloud OS 5 Firmware 5.26.119. 

Người dùng thiết bị My Cloud PR4100 của Western Digital được khuyến nghị cập nhật firmware mới nhất để đảm bảo an toàn.  

Nguồn: Security Online